Actualités RGPD

Retrouvez toutes les actualités européennes en matière de RGPD, nos études et nos conseils pour élaborer au mieux votre plan d’action dans votre mise en conformité RGPD.

Actualités RGPD

Retrouvez toutes les actualités européennes en matière de RGPD, nos études et nos conseils pour élaborer au mieux votre plan d’action dans votre mise en conformité RGPD.

DIRECTIVE NIS2 – 20 Mesures à prendre pour être en conformité.

En mai dernier, un document de travail a fuité, révélant les premières mesures qui devraient encadrer la mise en conformité des entreprises face à la directive NIS2. Ce document, destiné à préparer les entités essentielles et importantes, détaille les objectifs de sécurité à atteindre pour assurer une protection optimale des systèmes d’information. Ce document détaille 20 objectifs clés, assortis de mesures spécifiques et de moyens concrets pour garantir la conformité des entreprises. Chaque entité, qu’elle soit essentielle ou importante, devra adopter des mesures adaptées à son statut pour répondre aux défis de sécurité posés par cette nouvelle législation. Si les Opérateurs de Services Essentiels (OSE), déjà soumis aux obligations de la première directive NIS, seront familiers avec ces exigences, la directive NIS2 introduira des changements significatifs pour les entités importantes, qui représentent une large majorité des nouvelles organisations concernées. Unitae RGPD a analysé le document afin de vous le synthétiser. Bonne lecture. Les 20 mesures : 1. Cartographie des systèmes d’information (SI) : Cette première mesure impose aux entités de réaliser une cartographie précise des systèmes d’information et des actifs critiques pour leurs activités. L’objectif est de mieux comprendre et identifier les zones à risque au sein du SI, afin de prioriser les efforts de protection. 2. Politique de sécurité des systèmes d’information (PSSI) : La mise en place d’une PSSI devient obligatoire pour toutes les entités, y compris les prestataires. Cela implique de définir clairement les rôles, les responsabilités et les procédures de sécurité, comme le chiffrement des données ou le contrôle d’accès. La conformité doit également être surveillée régulièrement. 3. Analyse des risques cyber : Destinée spécifiquement aux dirigeants des entités essentielles, cette mesure demande de prendre connaissance des risques numériques pesant sur les systèmes d’information et de suivre leur évolution. Les dirigeants sont également responsables de l’acceptation des risques résiduels. 4. Gestion des prestataires IT : Une attention particulière est portée à la relation contractuelle avec les prestataires IT. La sécurité doit être intégrée dans tous les aspects des contrats, et une cartographie des prestataires est exigée pour une meilleure gestion des risques associés à la sous-traitance. 5. Contrôles d’accès et authentification : La gestion des identités et des accès est renforcée, avec des mécanismes stricts d’authentification et des processus pour restreindre l’accès aux seules personnes ou processus autorisés et justifiés. 6. Gestion RH et formation des collaborateurs Les entités doivent sensibiliser leurs employés à la sécurité numérique et former spécifiquement les personnels occupant des fonctions critiques. Cela inclut des processus dès l’arrivée d’un nouveau collaborateur jusqu’à son départ, afin d’assurer une continuité dans la gestion de la cybersécurité. 7. Maintien en conditions de sécurité (MCS) du SIR Le maintien en conditions de sécurité des systèmes d’information (SIR) inclut la création de cartographies détaillées du SI pour améliorer la réactivité en cas d’incidents. Il impose aussi une veille constante des vulnérabilités, en partenariat avec l’ANSSI, les fournisseurs et les prestataires. 8. Contrôle des droits d’accès physiques Cette mesure se concentre sur la gestion des accès physiques, imposant aux entités de mettre en place des mécanismes de contrôle pour réguler les droits d’accès aux infrastructures critiques et gérer efficacement les visiteurs. 9. Sécurisation de l’architecture du SIR Les entités doivent identifier et filtrer les communications entrantes et sortantes de leurs systèmes d’information, notamment lorsqu’elles sont interconnectées avec des réseaux tiers. Cela vise à protéger l’intégrité des services numériques en limitant les points d’exposition. 10. Sécurisation des accès distants Cette mesure impose la sécurisation des accès à distance aux SIR, en mettant en place des mécanismes d’authentification et en sécurisant les canaux de communication pour éviter toute intrusion via des systèmes externes (internet, prestataires). 11. Protection contre les codes malveillants Les entités doivent installer des solutions de protection contre les codes malveillants sur toutes les ressources de leurs systèmes d’information (SIR). L’objectif est de détecter et de neutraliser les logiciels malveillants susceptibles de compromettre la sécurité. 12. Durcissement de la configuration du SIR Cette mesure impose la sécurisation des configurations des systèmes d’information. Il s’agit de définir des configurations renforcées (ou durcies) sur les systèmes pour minimiser les vulnérabilités potentielles et empêcher l’exploitation de failles non corrigées. 13. Mécanismes d’identification et d’authentification Les entités doivent mettre en place des mécanismes robustes pour l’identification et l’authentification des utilisateurs du SIR. Ces mécanismes incluent une gestion des droits d’accès pour ne permettre l’accès aux ressources qu’aux utilisateurs autorisés, suivant des processus automatiques vérifiés. 14. Sécurisation de l’administration du SIR et des annuaires Cette mesure impose la mise en œuvre de comptes d’administration dédiés pour l’administration des systèmes d’information. Les administrateurs doivent utiliser ces comptes pour gérer l’accès aux annuaires, qui constituent le cœur de la gestion des identités des systèmes de l’entité. 15. Système d’information dédié à l’administration Les entités doivent mettre en place un système d’information spécifique, destiné exclusivement à l’administration de leurs SIR. Cela inclut l’isolement de ces ressources pour garantir qu’elles sont contrôlées et sécurisées de manière autonome par l’entité ou ses prestataires. Ces mesures visent à renforcer la résilience des infrastructures critiques et à améliorer la gestion des accès et des configurations dans un environnement de plus en plus menacé par les cyberattaques 16. Supervision de la sécurité Les entités doivent mettre en place des moyens de journalisation, de détection, et d’analyse des événements de sécurité sur leurs systèmes d’information (SIR) pour superviser efficacement la sécurité et détecter les anomalies. 17. Organisation de la réaction aux incidents de sécurité Il est impératif pour les entités de développer des processus et des outils spécifiques pour réagir rapidement aux incidents de sécurité. Cela inclut la mise en place d’une organisation claire et structurée capable de gérer efficacement ces événements critiques. 18. Continuité et reprise d’activité Cette mesure impose la création de mécanismes de sauvegarde et de restauration testés régulièrement. Les entités doivent également établir des plans de continuité et de reprise d’activité afin de réagir à toute perturbation majeure des systèmes d’information. 19. Organisation de la gestion des crises cyber Les entités doivent développer une organisation capable de

5 septembre 2024

La désignation obligatoire d’un DPO dans le secteur public : Ce que vous devez savoir

Le Règlement Général sur la Protection des Données (RGPD) impose des obligations strictes pour la protection des données personnelles. Entre elles, la désignation obligatoire d’un Délégué à la Protection des Données (DPO) pour les organismes publics. Voyons de plus près pourquoi cette désignation est essentielle et quelles entités sont concernées. Pourquoi un DPO est-il obligatoire pour les organismes du secteur public ? Selon l’article 37 du RGPD, tous les organismes publics doivent obligatoirement désigner un DPO. En effet, ce délégué, qu’il soit désigné en interne, comme en externe, joue un rôle crucial dans la gestion des données personnelles. Le Délégué à la Protection des Données garantit ainsi leur traitement conformément à la réglementation en vigueur. Quels sont les organismes publics concernés par cette obligation ? En France, une multitude d’autorités et d’organismes publics sont directement impactés par cette obligation. Voici une liste non exhaustive des entités qui doivent désigner un DPO : En somme, près de 35 000 établissements devraient désigner un DPO ! Un nombre impressionnant, qui est encore loin d’être atteint. Conseils pratiques pour les organismes publics Ainsi, la désignation d’un DPO n’est pas simplement une obligation légale : c’est une démarche proactive pour protéger les données personnelles des citoyens et renforcer la confiance dans vos services. Unitae RGPD : Votre allié pour la conformité RGPD Chez Unitae, nous comprenons que les entreprises du secteur public sont confrontées à des défis uniques en matière de protection des données. Par conséquent, nous proposons des solutions spécifiques et adaptées pour vous aider à respecter les obligations du RGPD. Que vous ayez besoin d’un DPO externe ou d’une assistance spécialisée pour votre DPO interne : nos produits sont conçus pour répondre à vos besoins !

30 juillet 2024

Paris 2024 : Des Cyber-Jeux ?

Les Jeux Olympiques, symbole de dépassement sportif pour les athlètes, représentent également un défi de dépassement technologique et numérique pour les organisateurs depuis des années. Comme l’a souligné Vincent Strubel, directeur général de l’ANSSI, « Les JO, ce sera un formidable événement, ce sera aussi une formidable cible ». Cette dualité souligne l’importance d’une préparation rigoureuse pour garantir la sécurité tout en célébrant l’excellence sportive. Vincent Strubel en a la certitude : « On ne fera pas de Jeux sans cyberattaques ». Face à ces défis, il est essentiel d’analyser les principales menaces cybernétiques qui pèsent sur les Jeux Olympiques de Paris 2024 et de déterminer les mesures nécessaires pour assurer la sécurité des infrastructures et la protection des données. I. Les menaces cybernétiques : un risque grandissant pour les événements d’envergure Lorsque l’on évoque les antécédents des incidents cybernétiques aux Jeux Olympiques, un événement se distingue particulièrement : les Jeux Olympiques de Montréal en 1976. L’attaque est ainsi restée dans la mémoire des comités d’organisation comme le premier incident majeur révélant les risques cybernétiques pour l’organisation des JO. Depuis, et à un rythme exponentiel depuis Pékin en 2008, de nombreuses autres éditions des Jeux ont été confrontées à des attaques, de plus en plus nombreuses et sophistiquées. En 2018, les Jeux Olympiques d’hiver de Pyeongchang ont été frappés par une attaque majeure juste avant la cérémonie d’ouverture. La cause ? Un malware sophistiqué nommé Olympic Destroyer. Celle-ci demeure, à ce jour, la cyberattaque la plus importante ayant affecté les Jeux Olympiques. Ainsi, la cybersécurité est devenue une priorité pour les organisateurs des Jeux Olympiques. En 2021, les Jeux de Tokyo ont enregistré 450 millions de cyberattaques, et les prévisions pour Paris 2024 annoncent une menace huit fois supérieure. Si les techniques varient, le modus operandi reste le même, comme l’explique la Lieutenante-colonelle Sophie Lambert du COMCYBER-MI : elle prévoit une recrudescence des attaques à l’approche des Jeux, avec un pic du nombre d’attaques atteint durant les premiers jours de l’évènement. Il n’est pas exclu que certains acteurs malveillants soient déjà infiltrés, prêts à lancer leurs attaques le jour J, utilisant des chevaux de Troie pour s’introduire discrètement dans les systèmes. Ce contexte pousse à un renforcement des collaborations entre acteurs publics et privés, et une importante préparation en amont, bien que certains critiquent une surenchère sécuritaire encouragée par les nouvelles technologies. II. Les défis de la cybersécurité pour Paris 2024 Face à l’augmentation des menaces cybernétiques, les dépenses en matière de cybersécurité ont été augmentées de 40 millions d’euros à l’occasion des Jeux de Paris. Cependant, certaines décisions et investissements inquiètent les différents acteurs du domaine, à commencer par l’hébergement des données nécessaires au bon déroulement des épreuves. Un rapport de la Cour des Comptes, daté du 20 juillet 2023, a mis en lumière des préoccupations concernant la sécurité et l’utilisation des données à caractère personnel, initialement prévues pour être hébergées par la société chinoise Alibaba. Cette décision a finalement été remplacée par le choix de l’entreprise américaine Cisco Systems et de la française Atos. Toutefois, ces entreprises ne sont pas exemptes de controverses : Cisco est accusée de lobbying, de censure et de violation de brevets, tandis qu’Atos, malgré son partenariat de longue date avec les JO, est menacée par une dette record et un risque de cession à l’étranger. Malgré ces risques, les fonctions de ces entreprises sont cruciales pour la tenue des Jeux Olympiques : Atos est responsable de l’affichage des résultats des 329 épreuves, de la gestion des 63 sites et de l’hébergement des données des 500 000 personnes accréditées, toutes directement menacées de divulgation publique en cas de cyberattaque. Le récent bug informatique de Microsoft, ce vendredi 19 juillet, n’est pas sans nous rappeler l’importance d’une indépendance numérique pour des évènements aux enjeux si importants. En ce qui concerne la cybersécurité au sens large de ces jeux, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a identifié 350 entités dont 80 sont cruciales pour le bon déroulement des Jeux. Une attaque sur l’une de ces entités pourrait entraîner des perturbations majeures, allant de l’annulation d’épreuves à des problèmes logistiques massifs, voire à une crise de sécurité publique. Les infrastructures critiques représentent le plus grand danger, étant donné leur impact géopolitique et leur visibilité, bien que les TPE et PME restent une grande source d’inquiétude en raison de leur fragilité face à la cybermenace. III. Stratégies et solutions pour contrer les cybermenaces Lorsque la CNIL observe un ou plusieurs manquements, elle peut prononcer trois mesures à l’encontre de Au vu de la diversité et du risque important de cyberattaque, l’Agence Nationale de la Sécurité des Systèmes d’Information a mis en place plusieurs initiatives pour renforcer la résilience des systèmes d’information, à commencer par des programmes de formation pour sensibiliser les entreprises et les administrations publiques à la cybersécurité. D’autres organismes, tels que le Centre de Lutte contre les Criminalités Numériques (C3N) de la Gendarmerie Nationale, ou encore le Commandement du ministère de l’Intérieur dans le cyberespace (COMCYBER-MI), contribuent activement à la défense contre les cyberattaques en menant des enquêtes et des opérations de cyberdéfense. À plus grande échelle, et bien que la France soit légalement la seule responsable pour la sécurité durant les jeux olympiques 2024, des alliances telles que l’Organisation du Traité de l’Atlantique Nord (OTAN) et l’Union Européenne (UE) travaillent ensemble pour élaborer des stratégies de cybersécurité communes et mener des exercices de simulation de cyberattaques. Pour accompagner ces organisations et pallier l’évolution rapide des cybermenaces, des technologies de pointe en matière de sécurité informatique sont mises à l’épreuve à l’occasion ces Jeux. Parmi celles-ci, l’utilisation de la vidéosurveillance algorithmique (VSA) se distingue particulièrement. Plus de 4000 caméras intelligentes équipées de logiciels de traitement automatisé d’image sont déployées pour repérer les situations à risque et les comportements anormaux. Cependant, la CNIL a exprimé ses préoccupations concernant ces technologies. Selon celle-ci, la captation et l’analyse de l’image des personnes dans l’espace public portent atteinte au droit à la vie privée, au droit de manifester,

25 juillet 2024

Tempête de Sanctions : La CNIL sévit avec 83.000€ d’amendes en 3 mois !

Depuis mars 2024, la CNIL a rendu neuf nouvelles décisions de sanctions dans le cadre de sa procédure simplifiée. Le montant total des amende s’élève à 83.000€. La procédure simplifiée La procédure simplifiée de la CNIL permet à l’autorité de contrôle d’intervenir rapidement et efficacement. Elle le fait dans les cas de manquements mineurs ou peu complexes aux règles de protection des données. Elle évite ainsi le besoin d’un processus long et complexe. Ainsi, les petites entreprises ne sont pas exemptes de contrôles et de sanctions. Cette procédure autorise la CNIL à détecter les infractions à distance, facilitant ainsi sa capacité à agir rapidement. La CNIL peut se saisir de manière autonome, suite à la publication de violations dans les médias, ou encore suite à des signalements émanant d’autres CNIL européennes, grâce à une coopération active. Ces méthodes permettent à la CNIL de surveiller efficacement un vaste éventail d’organisations et de prendre promptement des mesures correctives. En d’autres termes, même si la CNIL ne communique pas toujours ouvertement sur ses actions, cela ne signifie en aucun cas qu’elle ne prend pas de sanctions lorsque nécessaire ! Depuis le mois de mars 2024, l’organisation a déjà rendu 9 sanctions, dont deux liquidations d’astreinte. Unitae RGPD vous propose un récapitulatif des nouvelles sanctions prononcées. Les nouvelles sanctions ➡️ Manquement relatif aux traitements illicites : La CNIL a sanctionné une société pour avoir diffusé une vidéo promotionnelle contenant des données sensibles (nom, prénom, genre, adresse, numéro de téléphone) sans le consentement des personnes concernées. ➡️ Manquement à la minimisation des données : le RGPD appelle à restreindre au minimum la collecte d’informations personnelles. Ainsi, un centre d’appel enregistrant systématiquement et intégralement les conversations téléphoniques a été sanctionné. ➡️ Manquement concernant l’utilisation des cookies : Un site web ne permettait pas aux utilisateurs de refuser les cookies aussi facilement que de les accepter (pratique qui va à l’encontre des exigences de l’article 82 de la loi Informatique et Libertés). ➡️ Défaut de sécurité des données : attention à vos mots de passe ! La CNIL a sanctionné certaines sociétés pour leurs mesures de sécurité insuffisantes, notamment l’utilisation de mots de passe non robustes, le stockage de mots de passe en clair et l’absence de politique d’habilitation. ➡️ Non-respect des droits des personnes : Des entreprises ont été sanctionnées pour ne pas avoir respecté les droits des personnes, notamment en ce qui concerne l’exercice du droit d’accès à un dossier médical. D’autres infractions récurrentes s’ajoutent à celles susmentionnées, dont le détournement de finalités, le non-respect de la durée de conservation des données ou encore le défaut de coopération avec la CNIL. À l’issue de la procédure simplifiée, 3 mesures : Lorsque la CNIL observe un ou plusieurs manquements, elle peut prononcer trois mesures à l’encontre de l’entreprise concernée : Ces récentes sanctions, et leurs mesures correspondantes rappellent l’importance de la protection des données et du respect du RGPD. Vous souhaitez en savoir plus sur la conformité de votre entreprise au RGPD ? N’hésitez pas à nous contacter pour obtenir des conseils et des solutions adaptées à vos besoins 💡

7 juin 2024

Usurpation d’identité d’Unitae RGPD

Usurpation d’identité : La rançon du succès ? Bonjour à tous, Nous tenions à vous communiquer une situation plutôt surprenante : il semblerait qu’une personne avec de moins nobles intentions ait décidé d’endosser notre identité afin de vous envoyer plusieurs courriels de prospection. C’est flatteur de devenir une cible de choix, mais nous devons avouer que cela dépasse un peu les bornes de la flatterie. Nous apprécions votre soutien dans cette affaire et je voulais simplement vous informer de cette situation. Si jamais vous recevez des messages à but prospectif en provenance du nom de domaine « @unitae-rgpd.eu » ou de l’adresse « nom+prénom@unitae-rgpd.eu » ce n’est pas notre entreprise. Bien que l’impact semble être limité, nous prenons malgré tout le problème au sérieux : ➡ Nous avons vérifié que nos systèmes n’ont pas été corrompus. D’ailleurs la personne qui me l’a notifié ne fait pas partie de notre BDD. ➡ Nous n’envoyons que très peu de mails commerciaux. La majeure partie de notre BDD est constitué d’abonnements à notre newsletter de veille. Les seules données utilisées sont l’adresse mail et les coordonnées de l’entreprise concernée. Nous sommes conscients que nous aurions du racheter les noms de domaine similaires afin de limiter une potentielle usurpation, mais nous ne pensions pas que cela arriverait aussi tôt. Dans le doute, n’hésitez pas à venir nous consulter. Merci à vous pour votre attention et votre soutien continu.À très vite,

18 décembre 2023

Les clauses RGPD obligatoires dans les Conditions Générales de Vente (CGV)

L’adoption du Règlement Général sur la Protection des Données (RGPD) a marqué un tournant majeur dans la manière dont les entreprises traitent les données personnelles de leurs clients. Ce règlement a introduit des exigences strictes pour garantir la protection des données personnelles. Entre autres, l’implémentation de nouvelles clauses RGPD obligatoires dans les Conditions Générales de Vente (CGV) des entreprises. Changements Apportés par le RGPD Avant l’adoption du RGPD, les entreprises avaient plus de liberté dans la manière dont elles collectaient, utilisaient et stockaient les données personnelles. Cependant, avec l’entrée en vigueur du RGPD, plusieurs changements majeurs ont été apportés : Impact sur les CGV Les CGV, qui établissent les obligations et responsabilités de chaque partie au contrat, doivent être mises à jour avec ces nouvelles clauses RGPD obligatoires pour refléter ces changements. Il est essentiel d’inclure des stipulations sur le traitement des données personnelles pour garantir la conformité avec le RGPD. Par exemple, les CGV doivent désormais inclure des informations sur la manière dont les données personnelles sont collectées, traitées et stockées, ainsi que sur les droits des individus concernant leurs données. Les nouvelles clauses RGPD obligatoires : Les CGV doivent inclure des stipulations spécifiques sur le traitement des données personnelles. Outre la mention de l’existence des données à caractère personnel, plusieurs autres mentions doivent être insérées dans les CGV, notamment : Comment Unitae RGPD Peut Vous Aider Les consultants d’Unitae RGPD ont développé une expertise particulière dans la mise en conformité des CGV avec le RGPD. Depuis ces nouvelles obligations, nous avons aidé de nombreux clients à rédiger ou à mettre à jour leurs CGV pour garantir leur conformité. Aujourd’hui nous rajoutons cette expertise dans nos services complémentaires afin de vous permettre d’en bénéficier sans choisir une conformité complète. Vous trouverez ce service ici. N’hésitez pas à nous contacter pour avoir plus d’informations. Nos équipes sont à votre disposition.

29 août 2023

Un outil gratuit pour faciliter le refus de la publicité ciblée sur Facebook

Meta a révisé sa base légale pour le ciblage publicitaire, passant d’une pratique illégale à une autre. Au lieu de donner aux utilisateurs la possibilité de consentir ou non, conformément au RGPD, Meta prétend maintenant (de manière illégale) avoir un « intérêt légitime » pour suivre les utilisateurs et propose un processus de désinscription extrêmement complexe via un formulaire en ligne. Face à cela, l’association NOYB a développé un outil gratuit permettant aux utilisateurs de s’opposer de manière simple et juridiquement valable à la publicité ciblée et aux autres revendications de Meta. Noyb est une association regroupant des groupes de défense des internautes sur la protection des données. Elle est fondée par Max SCHREMS, personnalité à l’initiative de l’invalidation du Privacy Shield, encadrant le transfert des données des utilisateurs européens vers les USA. On retrace l’histoire : Alors que de nombreuses entreprises demandent aux utilisateurs de donner leur consentement explicite (opt-in) pour l’utilisation de leurs données personnelles à des fins publicitaires, Meta (Facebook et Instagram) a tenté d’éviter cette exigence en prétendant que l’utilisation de ces données était « nécessaire dans le cadre du contrat » conclu avec les utilisateurs au moment de l’entrée en vigueur du RGPD en 2018. Noyb, l’organisation de défense des droits numériques, a immédiatement contesté cette pratique et a porté une série de plaintes devant le Comité européen de la protection des données (CEPD) en décembre 2022. Meta avait jusqu’au mois d’avril pour mettre fin à cette pratique contestée. Cependant, au lieu de se conformer aux exigences du RGPD, Meta a récemment tenté de justifier son traitement des données en invoquant son prétendu « intérêt légitime », prétendant que cet intérêt prévaut sur le droit fondamental à la vie privée et à la protection des données des utilisateurs. Il convient de noter que cette approche a déjà été rejetée par les régulateurs dans des affaires similaires, telles que celle de TikTok devant l’autorité de protection des données italienne ou celle de l’IAB TCF devant l’autorité de protection des données belge. Max Schrems souligne que Meta passe d’une option illégale à une autre. L’entreprise affirme essentiellement que son intérêt à maximiser ses profits grâce au profilage et au suivi des utilisateurs prime sur les droits fondamentaux de ces derniers. Cette tentative de justification a déjà été contestée et réprimandée par les autorités compétentes à plusieurs reprises. De plus, Meta tente de limiter le droit des internautes en rendant difficile d’accès le formulaire de contestation. C’est contraire au RGPD qui implique un principe de transparence. Voici le formulaire caché de Facebook ici Pour faire face au mépris de Meta, Noyb a décidé d’agir de son coté, en facilitant la contestation de l’utilisation de vos données à des fins publicitaires par Facebook. L’outil développé par Noyb : Une solution rapide et simple a été développée par noyb pour permettre à l’utilisateur de s’opposer au traitement des données. L’option de retrait gratuite de l’outil de désinscription de noyb offre aux utilisateurs la possibilité de refuser tout traitement basé sur un « intérêt légitime » et de s’opposer en général à l’utilisation de leurs données personnelles à des fins de publicités ciblées. Cela permet d’inverser les rôles : Meta devait, à la base, expliquer pourquoi une exclusion générale est excessive, alors que notre outil permet aux utilisateurs de s’exclure de manière générale. Par conséquent, la responsabilité de débattre des aspects juridiques est transférée de l’utilisateur à Meta. Avec cet outil, la responsabilité est donc transférée et le groupe est tenu de traiter l’objection sans retard excessif et dans un délai d’un mois, au minimum.

20 juin 2023

Pourquoi choisir un DPO Externe est avantageux pour vos démarches de conformité au RGPD ?

Dans vos démarches de conformité au RGPD, la désignation d’un Délégué à la Protection des Données (DPO) est fortement recommandée. Il a un rôle fondamental dans l’application des procédures et le suivi de votre conformité. Bien qu’obligatoire dans certains cas, beaucoup d’organisations, notamment les PME, peuvent trouver coûteux et complexe d’avoir un DPO interne à plein temps. L’alternative ? Externaliser cette fonction. Dans cet article, nous allons explorer en détail les avantages d’un DPO externe et les étapes pour l’externaliser efficacement. 3 avantages de choisir un DPO Externe : 1. Rentabilité Un DPO interne à plein temps est une charge significative pour une entreprise, en particulier pour les petites et moyennes entreprises (PME). Dans la plupart des cas, la fonction de DPO est attribuée à une personne déjà en poste au sein de l’organisme. Ce n’est pas la solution la plus adéquate car nous avons tendance à minimiser l’implication du DPO et la charge de travail supplémentaire que cela implique. Le DPO devient le responsable de la conformité. Il doit répondre aux demandes d’exercices de droit, s’assurer des mises-à-jour des documents etc etc… Sous-estimer la charge de travail peut être néfaste : D’une part, le salarié devient moins productif sur son poste principal, d’autre part, cela peut créer des tensions et du stress si le concerné n’arrive pas à joindre les deux bouts. En plus du salaire, de nombreux frais annexes peuvent s’ajouter : En revanche, l’externalisation de cette fonction à un DPO externe vous permet de bénéficier d’un service professionnel tout en minimisant les coûts. Vous payez pour l’expertise et le temps nécessaire, sans avoir à supporter le coût d’un employé à plein temps. 2. Expertise spécialisée L’une des raisons principales d’externaliser le rôle de DPO est l’accès à une expertise spécialisée. Les réglementations sur la protection des données sont complexes et en constante évolution. Un DPO externe, qui se consacre à temps plein à la protection des données et au respect du RGPD, possède souvent une connaissance approfondie et actualisée de ces réglementations. Un DPO externe a l’habitude de travailler avec une variété d’entreprises, ce qui lui permet d’acquérir une expérience précieuse dans différents secteurs et situations. Cette expérience transversale peut être particulièrement utile pour les entreprises qui opèrent dans des secteurs spécifiques où les exigences du RGPD peuvent être plus complexes ou moins bien comprises. Par exemple, le secteur de la santé a des exigences particulières en matière de protection des données en raison de la nature sensible des informations de santé. Un DPO externe ayant une expertise dans ce secteur comprendra les implications du RGPD pour la manipulation des données de santé, sera à jour sur les meilleures pratiques et pourra fournir des conseils pertinents sur la manière de gérer les données de santé de manière conforme. De même, si vous opérez dans un secteur comme le commerce électronique, où les transactions et les interactions avec les clients impliquent la collecte et le traitement de grandes quantités de données personnelles, un DPO externe avec une expertise dans ce domaine sera précieux. Ils comprendront les risques associés à la manipulation des données des clients, seront à jour sur les dernières réglementations et meilleures pratiques, et pourront vous conseiller sur la manière de mettre en œuvre des politiques de protection des données robustes. Un DPO externe a également l’avantage d’être au courant des développements législatifs récents et des décisions de justice qui pourraient affecter votre conformité au RGPD. Cela signifie qu’ils peuvent vous aider à anticiper et à vous préparer à d’éventuels changements, vous assurant ainsi de rester toujours en conformité avec les réglementations les plus récentes. 3. Perspective externe Un DPO externe apporte une perspective extérieure à votre organisation, ce qui peut être bénéfique pour évaluer vos processus et politiques de conformité. Par exemple, ils peuvent identifier les points aveugles ou les lacunes dans vos procédures de protection des données que vous auriez pu manquer. L’intérêt principal est la neutralité. Le DPO peut parfois mettre en lumière certains conflits internes entre différents services. Par exemple, le service marketing souhaite diffuser une offre commerciale à l’ensemble des utilisateurs et le service juridique bloque toute action de leur part. Dans ce cas de figure, le DPO Externe comprend les objectifs de chacun est doit être force de proposition sur une solution qui conviendra aux deux parties. De plus, il est interdit d’exercer une pression sur le DPO qui a un rôle d’indépendant. La direction ne peut donc pas obliger le DPO à passer outre ses fonctions, et réciproquement le DPO ne doit pas avantager ses collègues si ces derniers ne respectent pas le RGPD. Comment externaliser le rôle de DPO? 1. Définir vos besoins La première étape consiste à comprendre vos besoins en matière de protection des données. Par exemple, si votre entreprise traite de grandes quantités de données sensibles, vous aurez besoin d’un DPO avec une expertise dans des domaines tels que la sécurité des données et la gestion des violations de données. Une entreprise de technologie, en revanche, pourrait avoir besoin d’un DPO avec une connaissance approfondie des questions liées à la technologie de l’information. La fonction de DPO est souvent mal comprise. C’est une vraie plue-value dans votre entreprise car, agissant comme un véritable chef de projet, il peut suivre en interne le développement de processus qui amélioreront la productivité de vos collaborateurs. Il est donc important de mettre à plat l’ensemble de ses besoins en matière de conformité et adapter le poste de DPO en fonction. 2. Rechercher le bon prestataire Une fois que vous avez une idée claire de vos besoins, vous pouvez commencer à rechercher un prestataire de services DPO. Vous pourriez chercher des recommandations, lire des avis en ligne, ou demander des références. Une bonne agence de DPO aura une solide expérience du RGPD, une bonne réputation, et une expertise dans votre secteur d’activité. Attention lorsque vous choisissez un profil. On a tendance à rapprocher le poste de DPO au service juridique. Cependant les juristes s’occupent parfaitement de l’aspect réglementaire, mais

1 juin 2023

Changer son mot de passe régulièrement, est-ce vraiment utile ?

Plusieurs experts en cybersécurité recommandent souvent de renouveler ses mots de passe périodiquement pour renforcer la sécurité. Par exemple, l’Assurance Maladie, a récemment envoyé un e-mail à ses utilisateurs leur suggérant de changer leurs mots de passe régulièrement. La justification d’une telle recommandation réside dans deux hypothèses : Cependant, avec l’évolution de la technologie, ces deux hypothèses méritent d’être examinées à nouveau. Aujourd’hui, grâce à la disponibilité de dispositifs hautement performants et de serveurs de calcul massifs, le décryptage des mots de passe peut être réalisé en quelques secondes. De plus, même si le fait de changer régulièrement de mot de passe peut sembler limiter les dommages, la réalité est que la plupart des attaquants ont déjà volé et utilisé les données nécessaires immédiatement après avoir dérobé le mot de passe. Dans un monde idéal, le renouvellement périodique des mots de passe renforcerait la sécurité. Cependant, l’expérience nous montre que la plupart des internautes, contraints de mémoriser leurs mots de passe, optent pour des modifications minimes et prévisibles lorsqu’on leur demande de les changer. Cela signifie que l’intention initiale de renforcer la sécurité est souvent compromise par des modifications prévisibles et des astuces mnémotechniques. Alors, comment renforcer sa sécurité sur internet ? Les mots de passe ne sont pas le seul moyen de se protéger. Quelques autres moyens de se protéger : … Un jour, il pourrait même être possible d’automatiser le changement des mots de passe pour améliorer la sécurité sans alourdir la charge cognitive des utilisateurs. Enfin, il est important de se rappeler que la sécurité des mots de passe est un aspect crucial, mais loin d’être le seul, de la sécurité en ligne. Des mesures de sécurité robustes et adaptées aux risques actuels sont essentielles pour protéger nos données et nos activités en ligne. Quand faut-il changer son mot de passe ? Peu importe la raison pour laquelle vous changez votre mot de passe, choisissez un nouveau mot de passe sans lien avec votre ancien mot de passe et ne réutilisez pas un mot de passe d’un autre compte.

22 mai 2023