Actualités RGPD

Retrouvez toutes les actualités européennes en matière de RGPD, nos études et nos conseils pour élaborer au mieux votre plan d’action dans votre mise en conformité RGPD.

Actualités RGPD

Retrouvez toutes les actualités européennes en matière de RGPD, nos études et nos conseils pour élaborer au mieux votre plan d’action dans votre mise en conformité RGPD.

Paris 2024 : Des Cyber-Jeux ?

Les Jeux Olympiques, symbole de dépassement sportif pour les athlètes, représentent également un défi de dépassement technologique et numérique pour les organisateurs depuis des années. Comme l’a souligné Vincent Strubel, directeur général de l’ANSSI, « Les JO, ce sera un formidable événement, ce sera aussi une formidable cible ». Cette dualité souligne l’importance d’une préparation rigoureuse pour garantir la sécurité tout en célébrant l’excellence sportive. Vincent Strubel en a la certitude : « On ne fera pas de Jeux sans cyberattaques ». Face à ces défis, il est essentiel d’analyser les principales menaces cybernétiques qui pèsent sur les Jeux Olympiques de Paris 2024 et de déterminer les mesures nécessaires pour assurer la sécurité des infrastructures et la protection des données. I. Les menaces cybernétiques : un risque grandissant pour les événements d’envergure Lorsque l’on évoque les antécédents des incidents cybernétiques aux Jeux Olympiques, un événement se distingue particulièrement : les Jeux Olympiques de Montréal en 1976. L’attaque est ainsi restée dans la mémoire des comités d’organisation comme le premier incident majeur révélant les risques cybernétiques pour l’organisation des JO. Depuis, et à un rythme exponentiel depuis Pékin en 2008, de nombreuses autres éditions des Jeux ont été confrontées à des attaques, de plus en plus nombreuses et sophistiquées. En 2018, les Jeux Olympiques d’hiver de Pyeongchang ont été frappés par une attaque majeure juste avant la cérémonie d’ouverture. La cause ? Un malware sophistiqué nommé Olympic Destroyer. Celle-ci demeure, à ce jour, la cyberattaque la plus importante ayant affecté les Jeux Olympiques. Ainsi, la cybersécurité est devenue une priorité pour les organisateurs des Jeux Olympiques. En 2021, les Jeux de Tokyo ont enregistré 450 millions de cyberattaques, et les prévisions pour Paris 2024 annoncent une menace huit fois supérieure. Si les techniques varient, le modus operandi reste le même, comme l’explique la Lieutenante-colonelle Sophie Lambert du COMCYBER-MI : elle prévoit une recrudescence des attaques à l’approche des Jeux, avec un pic du nombre d’attaques atteint durant les premiers jours de l’évènement. Il n’est pas exclu que certains acteurs malveillants soient déjà infiltrés, prêts à lancer leurs attaques le jour J, utilisant des chevaux de Troie pour s’introduire discrètement dans les systèmes. Ce contexte pousse à un renforcement des collaborations entre acteurs publics et privés, et une importante préparation en amont, bien que certains critiquent une surenchère sécuritaire encouragée par les nouvelles technologies. II. Les défis de la cybersécurité pour Paris 2024 Face à l’augmentation des menaces cybernétiques, les dépenses en matière de cybersécurité ont été augmentées de 40 millions d’euros à l’occasion des Jeux de Paris. Cependant, certaines décisions et investissements inquiètent les différents acteurs du domaine, à commencer par l’hébergement des données nécessaires au bon déroulement des épreuves. Un rapport de la Cour des Comptes, daté du 20 juillet 2023, a mis en lumière des préoccupations concernant la sécurité et l’utilisation des données à caractère personnel, initialement prévues pour être hébergées par la société chinoise Alibaba. Cette décision a finalement été remplacée par le choix de l’entreprise américaine Cisco Systems et de la française Atos. Toutefois, ces entreprises ne sont pas exemptes de controverses : Cisco est accusée de lobbying, de censure et de violation de brevets, tandis qu’Atos, malgré son partenariat de longue date avec les JO, est menacée par une dette record et un risque de cession à l’étranger. Malgré ces risques, les fonctions de ces entreprises sont cruciales pour la tenue des Jeux Olympiques : Atos est responsable de l’affichage des résultats des 329 épreuves, de la gestion des 63 sites et de l’hébergement des données des 500 000 personnes accréditées, toutes directement menacées de divulgation publique en cas de cyberattaque. Le récent bug informatique de Microsoft, ce vendredi 19 juillet, n’est pas sans nous rappeler l’importance d’une indépendance numérique pour des évènements aux enjeux si importants. En ce qui concerne la cybersécurité au sens large de ces jeux, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a identifié 350 entités dont 80 sont cruciales pour le bon déroulement des Jeux. Une attaque sur l’une de ces entités pourrait entraîner des perturbations majeures, allant de l’annulation d’épreuves à des problèmes logistiques massifs, voire à une crise de sécurité publique. Les infrastructures critiques représentent le plus grand danger, étant donné leur impact géopolitique et leur visibilité, bien que les TPE et PME restent une grande source d’inquiétude en raison de leur fragilité face à la cybermenace. III. Stratégies et solutions pour contrer les cybermenaces Lorsque la CNIL observe un ou plusieurs manquements, elle peut prononcer trois mesures à l’encontre de Au vu de la diversité et du risque important de cyberattaque, l’Agence Nationale de la Sécurité des Systèmes d’Information a mis en place plusieurs initiatives pour renforcer la résilience des systèmes d’information, à commencer par des programmes de formation pour sensibiliser les entreprises et les administrations publiques à la cybersécurité. D’autres organismes, tels que le Centre de Lutte contre les Criminalités Numériques (C3N) de la Gendarmerie Nationale, ou encore le Commandement du ministère de l’Intérieur dans le cyberespace (COMCYBER-MI), contribuent activement à la défense contre les cyberattaques en menant des enquêtes et des opérations de cyberdéfense. À plus grande échelle, et bien que la France soit légalement la seule responsable pour la sécurité durant les jeux olympiques 2024, des alliances telles que l’Organisation du Traité de l’Atlantique Nord (OTAN) et l’Union Européenne (UE) travaillent ensemble pour élaborer des stratégies de cybersécurité communes et mener des exercices de simulation de cyberattaques. Pour accompagner ces organisations et pallier l’évolution rapide des cybermenaces, des technologies de pointe en matière de sécurité informatique sont mises à l’épreuve à l’occasion ces Jeux. Parmi celles-ci, l’utilisation de la vidéosurveillance algorithmique (VSA) se distingue particulièrement. Plus de 4000 caméras intelligentes équipées de logiciels de traitement automatisé d’image sont déployées pour repérer les situations à risque et les comportements anormaux. Cependant, la CNIL a exprimé ses préoccupations concernant ces technologies. Selon celle-ci, la captation et l’analyse de l’image des personnes dans l’espace public portent atteinte au droit à la vie privée, au droit de manifester,

25 juillet 2024

Tempête de Sanctions : La CNIL sévit avec 83.000€ d’amendes en 3 mois !

Depuis mars 2024, la CNIL a rendu neuf nouvelles décisions de sanctions dans le cadre de sa procédure simplifiée. Le montant total des amende s’élève à 83.000€. La procédure simplifiée La procédure simplifiée de la CNIL permet à l’autorité de contrôle d’intervenir rapidement et efficacement. Elle le fait dans les cas de manquements mineurs ou peu complexes aux règles de protection des données. Elle évite ainsi le besoin d’un processus long et complexe. Ainsi, les petites entreprises ne sont pas exemptes de contrôles et de sanctions. Cette procédure autorise la CNIL à détecter les infractions à distance, facilitant ainsi sa capacité à agir rapidement. La CNIL peut se saisir de manière autonome, suite à la publication de violations dans les médias, ou encore suite à des signalements émanant d’autres CNIL européennes, grâce à une coopération active. Ces méthodes permettent à la CNIL de surveiller efficacement un vaste éventail d’organisations et de prendre promptement des mesures correctives. En d’autres termes, même si la CNIL ne communique pas toujours ouvertement sur ses actions, cela ne signifie en aucun cas qu’elle ne prend pas de sanctions lorsque nécessaire ! Depuis le mois de mars 2024, l’organisation a déjà rendu 9 sanctions, dont deux liquidations d’astreinte. Unitae RGPD vous propose un récapitulatif des nouvelles sanctions prononcées. Les nouvelles sanctions ➡️ Manquement relatif aux traitements illicites : La CNIL a sanctionné une société pour avoir diffusé une vidéo promotionnelle contenant des données sensibles (nom, prénom, genre, adresse, numéro de téléphone) sans le consentement des personnes concernées. ➡️ Manquement à la minimisation des données : le RGPD appelle à restreindre au minimum la collecte d’informations personnelles. Ainsi, un centre d’appel enregistrant systématiquement et intégralement les conversations téléphoniques a été sanctionné. ➡️ Manquement concernant l’utilisation des cookies : Un site web ne permettait pas aux utilisateurs de refuser les cookies aussi facilement que de les accepter (pratique qui va à l’encontre des exigences de l’article 82 de la loi Informatique et Libertés). ➡️ Défaut de sécurité des données : attention à vos mots de passe ! La CNIL a sanctionné certaines sociétés pour leurs mesures de sécurité insuffisantes, notamment l’utilisation de mots de passe non robustes, le stockage de mots de passe en clair et l’absence de politique d’habilitation. ➡️ Non-respect des droits des personnes : Des entreprises ont été sanctionnées pour ne pas avoir respecté les droits des personnes, notamment en ce qui concerne l’exercice du droit d’accès à un dossier médical. D’autres infractions récurrentes s’ajoutent à celles susmentionnées, dont le détournement de finalités, le non-respect de la durée de conservation des données ou encore le défaut de coopération avec la CNIL. À l’issue de la procédure simplifiée, 3 mesures : Lorsque la CNIL observe un ou plusieurs manquements, elle peut prononcer trois mesures à l’encontre de l’entreprise concernée : Ces récentes sanctions, et leurs mesures correspondantes rappellent l’importance de la protection des données et du respect du RGPD. Vous souhaitez en savoir plus sur la conformité de votre entreprise au RGPD ? N’hésitez pas à nous contacter pour obtenir des conseils et des solutions adaptées à vos besoins 💡

7 juin 2024

Usurpation d’identité d’Unitae RGPD

Usurpation d’identité : La rançon du succès ? Bonjour à tous, Nous tenions à vous communiquer une situation plutôt surprenante : il semblerait qu’une personne avec de moins nobles intentions ait décidé d’endosser notre identité afin de vous envoyer plusieurs courriels de prospection. C’est flatteur de devenir une cible de choix, mais nous devons avouer que cela dépasse un peu les bornes de la flatterie. Nous apprécions votre soutien dans cette affaire et je voulais simplement vous informer de cette situation. Si jamais vous recevez des messages à but prospectif en provenance du nom de domaine « @unitae-rgpd.eu » ou de l’adresse « nom+prénom@unitae-rgpd.eu » ce n’est pas notre entreprise. Bien que l’impact semble être limité, nous prenons malgré tout le problème au sérieux : ➡ Nous avons vérifié que nos systèmes n’ont pas été corrompus. D’ailleurs la personne qui me l’a notifié ne fait pas partie de notre BDD. ➡ Nous n’envoyons que très peu de mails commerciaux. La majeure partie de notre BDD est constitué d’abonnements à notre newsletter de veille. Les seules données utilisées sont l’adresse mail et les coordonnées de l’entreprise concernée. Nous sommes conscients que nous aurions du racheter les noms de domaine similaires afin de limiter une potentielle usurpation, mais nous ne pensions pas que cela arriverait aussi tôt. Dans le doute, n’hésitez pas à venir nous consulter. Merci à vous pour votre attention et votre soutien continu.À très vite,

18 décembre 2023

Les clauses RGPD obligatoires dans les Conditions Générales de Vente (CGV)

L’adoption du Règlement Général sur la Protection des Données (RGPD) a marqué un tournant majeur dans la manière dont les entreprises traitent les données personnelles de leurs clients. Ce règlement a introduit des exigences strictes pour garantir la protection des données personnelles. Entre autres, l’implémentation de nouvelles clauses RGPD obligatoires dans les Conditions Générales de Vente (CGV) des entreprises. Changements Apportés par le RGPD Avant l’adoption du RGPD, les entreprises avaient plus de liberté dans la manière dont elles collectaient, utilisaient et stockaient les données personnelles. Cependant, avec l’entrée en vigueur du RGPD, plusieurs changements majeurs ont été apportés : Impact sur les CGV Les CGV, qui établissent les obligations et responsabilités de chaque partie au contrat, doivent être mises à jour avec ces nouvelles clauses RGPD obligatoires pour refléter ces changements. Il est essentiel d’inclure des stipulations sur le traitement des données personnelles pour garantir la conformité avec le RGPD. Par exemple, les CGV doivent désormais inclure des informations sur la manière dont les données personnelles sont collectées, traitées et stockées, ainsi que sur les droits des individus concernant leurs données. Les nouvelles clauses RGPD obligatoires : Les CGV doivent inclure des stipulations spécifiques sur le traitement des données personnelles. Outre la mention de l’existence des données à caractère personnel, plusieurs autres mentions doivent être insérées dans les CGV, notamment : Comment Unitae RGPD Peut Vous Aider Les consultants d’Unitae RGPD ont développé une expertise particulière dans la mise en conformité des CGV avec le RGPD. Depuis ces nouvelles obligations, nous avons aidé de nombreux clients à rédiger ou à mettre à jour leurs CGV pour garantir leur conformité. Aujourd’hui nous rajoutons cette expertise dans nos services complémentaires afin de vous permettre d’en bénéficier sans choisir une conformité complète. Vous trouverez ce service ici. N’hésitez pas à nous contacter pour avoir plus d’informations. Nos équipes sont à votre disposition.

29 août 2023

Un outil gratuit pour faciliter le refus de la publicité ciblée sur Facebook

Meta a révisé sa base légale pour le ciblage publicitaire, passant d’une pratique illégale à une autre. Au lieu de donner aux utilisateurs la possibilité de consentir ou non, conformément au RGPD, Meta prétend maintenant (de manière illégale) avoir un « intérêt légitime » pour suivre les utilisateurs et propose un processus de désinscription extrêmement complexe via un formulaire en ligne. Face à cela, l’association NOYB a développé un outil gratuit permettant aux utilisateurs de s’opposer de manière simple et juridiquement valable à la publicité ciblée et aux autres revendications de Meta. Noyb est une association regroupant des groupes de défense des internautes sur la protection des données. Elle est fondée par Max SCHREMS, personnalité à l’initiative de l’invalidation du Privacy Shield, encadrant le transfert des données des utilisateurs européens vers les USA. On retrace l’histoire : Alors que de nombreuses entreprises demandent aux utilisateurs de donner leur consentement explicite (opt-in) pour l’utilisation de leurs données personnelles à des fins publicitaires, Meta (Facebook et Instagram) a tenté d’éviter cette exigence en prétendant que l’utilisation de ces données était « nécessaire dans le cadre du contrat » conclu avec les utilisateurs au moment de l’entrée en vigueur du RGPD en 2018. Noyb, l’organisation de défense des droits numériques, a immédiatement contesté cette pratique et a porté une série de plaintes devant le Comité européen de la protection des données (CEPD) en décembre 2022. Meta avait jusqu’au mois d’avril pour mettre fin à cette pratique contestée. Cependant, au lieu de se conformer aux exigences du RGPD, Meta a récemment tenté de justifier son traitement des données en invoquant son prétendu « intérêt légitime », prétendant que cet intérêt prévaut sur le droit fondamental à la vie privée et à la protection des données des utilisateurs. Il convient de noter que cette approche a déjà été rejetée par les régulateurs dans des affaires similaires, telles que celle de TikTok devant l’autorité de protection des données italienne ou celle de l’IAB TCF devant l’autorité de protection des données belge. Max Schrems souligne que Meta passe d’une option illégale à une autre. L’entreprise affirme essentiellement que son intérêt à maximiser ses profits grâce au profilage et au suivi des utilisateurs prime sur les droits fondamentaux de ces derniers. Cette tentative de justification a déjà été contestée et réprimandée par les autorités compétentes à plusieurs reprises. De plus, Meta tente de limiter le droit des internautes en rendant difficile d’accès le formulaire de contestation. C’est contraire au RGPD qui implique un principe de transparence. Voici le formulaire caché de Facebook ici Pour faire face au mépris de Meta, Noyb a décidé d’agir de son coté, en facilitant la contestation de l’utilisation de vos données à des fins publicitaires par Facebook. L’outil développé par Noyb : Une solution rapide et simple a été développée par noyb pour permettre à l’utilisateur de s’opposer au traitement des données. L’option de retrait gratuite de l’outil de désinscription de noyb offre aux utilisateurs la possibilité de refuser tout traitement basé sur un « intérêt légitime » et de s’opposer en général à l’utilisation de leurs données personnelles à des fins de publicités ciblées. Cela permet d’inverser les rôles : Meta devait, à la base, expliquer pourquoi une exclusion générale est excessive, alors que notre outil permet aux utilisateurs de s’exclure de manière générale. Par conséquent, la responsabilité de débattre des aspects juridiques est transférée de l’utilisateur à Meta. Avec cet outil, la responsabilité est donc transférée et le groupe est tenu de traiter l’objection sans retard excessif et dans un délai d’un mois, au minimum.

20 juin 2023

Pourquoi choisir un DPO Externe est avantageux pour vos démarches de conformité au RGPD ?

Dans vos démarches de conformité au RGPD, la désignation d’un Délégué à la Protection des Données (DPO) est fortement recommandée. Il a un rôle fondamental dans l’application des procédures et le suivi de votre conformité. Bien qu’obligatoire dans certains cas, beaucoup d’organisations, notamment les PME, peuvent trouver coûteux et complexe d’avoir un DPO interne à plein temps. L’alternative ? Externaliser cette fonction. Dans cet article, nous allons explorer en détail les avantages d’un DPO externe et les étapes pour l’externaliser efficacement. 3 avantages de choisir un DPO Externe : 1. Rentabilité Un DPO interne à plein temps est une charge significative pour une entreprise, en particulier pour les petites et moyennes entreprises (PME). Dans la plupart des cas, la fonction de DPO est attribuée à une personne déjà en poste au sein de l’organisme. Ce n’est pas la solution la plus adéquate car nous avons tendance à minimiser l’implication du DPO et la charge de travail supplémentaire que cela implique. Le DPO devient le responsable de la conformité. Il doit répondre aux demandes d’exercices de droit, s’assurer des mises-à-jour des documents etc etc… Sous-estimer la charge de travail peut être néfaste : D’une part, le salarié devient moins productif sur son poste principal, d’autre part, cela peut créer des tensions et du stress si le concerné n’arrive pas à joindre les deux bouts. En plus du salaire, de nombreux frais annexes peuvent s’ajouter : En revanche, l’externalisation de cette fonction à un DPO externe vous permet de bénéficier d’un service professionnel tout en minimisant les coûts. Vous payez pour l’expertise et le temps nécessaire, sans avoir à supporter le coût d’un employé à plein temps. 2. Expertise spécialisée L’une des raisons principales d’externaliser le rôle de DPO est l’accès à une expertise spécialisée. Les réglementations sur la protection des données sont complexes et en constante évolution. Un DPO externe, qui se consacre à temps plein à la protection des données et au respect du RGPD, possède souvent une connaissance approfondie et actualisée de ces réglementations. Un DPO externe a l’habitude de travailler avec une variété d’entreprises, ce qui lui permet d’acquérir une expérience précieuse dans différents secteurs et situations. Cette expérience transversale peut être particulièrement utile pour les entreprises qui opèrent dans des secteurs spécifiques où les exigences du RGPD peuvent être plus complexes ou moins bien comprises. Par exemple, le secteur de la santé a des exigences particulières en matière de protection des données en raison de la nature sensible des informations de santé. Un DPO externe ayant une expertise dans ce secteur comprendra les implications du RGPD pour la manipulation des données de santé, sera à jour sur les meilleures pratiques et pourra fournir des conseils pertinents sur la manière de gérer les données de santé de manière conforme. De même, si vous opérez dans un secteur comme le commerce électronique, où les transactions et les interactions avec les clients impliquent la collecte et le traitement de grandes quantités de données personnelles, un DPO externe avec une expertise dans ce domaine sera précieux. Ils comprendront les risques associés à la manipulation des données des clients, seront à jour sur les dernières réglementations et meilleures pratiques, et pourront vous conseiller sur la manière de mettre en œuvre des politiques de protection des données robustes. Un DPO externe a également l’avantage d’être au courant des développements législatifs récents et des décisions de justice qui pourraient affecter votre conformité au RGPD. Cela signifie qu’ils peuvent vous aider à anticiper et à vous préparer à d’éventuels changements, vous assurant ainsi de rester toujours en conformité avec les réglementations les plus récentes. 3. Perspective externe Un DPO externe apporte une perspective extérieure à votre organisation, ce qui peut être bénéfique pour évaluer vos processus et politiques de conformité. Par exemple, ils peuvent identifier les points aveugles ou les lacunes dans vos procédures de protection des données que vous auriez pu manquer. L’intérêt principal est la neutralité. Le DPO peut parfois mettre en lumière certains conflits internes entre différents services. Par exemple, le service marketing souhaite diffuser une offre commerciale à l’ensemble des utilisateurs et le service juridique bloque toute action de leur part. Dans ce cas de figure, le DPO Externe comprend les objectifs de chacun est doit être force de proposition sur une solution qui conviendra aux deux parties. De plus, il est interdit d’exercer une pression sur le DPO qui a un rôle d’indépendant. La direction ne peut donc pas obliger le DPO à passer outre ses fonctions, et réciproquement le DPO ne doit pas avantager ses collègues si ces derniers ne respectent pas le RGPD. Comment externaliser le rôle de DPO? 1. Définir vos besoins La première étape consiste à comprendre vos besoins en matière de protection des données. Par exemple, si votre entreprise traite de grandes quantités de données sensibles, vous aurez besoin d’un DPO avec une expertise dans des domaines tels que la sécurité des données et la gestion des violations de données. Une entreprise de technologie, en revanche, pourrait avoir besoin d’un DPO avec une connaissance approfondie des questions liées à la technologie de l’information. La fonction de DPO est souvent mal comprise. C’est une vraie plue-value dans votre entreprise car, agissant comme un véritable chef de projet, il peut suivre en interne le développement de processus qui amélioreront la productivité de vos collaborateurs. Il est donc important de mettre à plat l’ensemble de ses besoins en matière de conformité et adapter le poste de DPO en fonction. 2. Rechercher le bon prestataire Une fois que vous avez une idée claire de vos besoins, vous pouvez commencer à rechercher un prestataire de services DPO. Vous pourriez chercher des recommandations, lire des avis en ligne, ou demander des références. Une bonne agence de DPO aura une solide expérience du RGPD, une bonne réputation, et une expertise dans votre secteur d’activité. Attention lorsque vous choisissez un profil. On a tendance à rapprocher le poste de DPO au service juridique. Cependant les juristes s’occupent parfaitement de l’aspect réglementaire, mais

1 juin 2023

Changer son mot de passe régulièrement, est-ce vraiment utile ?

Plusieurs experts en cybersécurité recommandent souvent de renouveler ses mots de passe périodiquement pour renforcer la sécurité. Par exemple, l’Assurance Maladie, a récemment envoyé un e-mail à ses utilisateurs leur suggérant de changer leurs mots de passe régulièrement. La justification d’une telle recommandation réside dans deux hypothèses : Cependant, avec l’évolution de la technologie, ces deux hypothèses méritent d’être examinées à nouveau. Aujourd’hui, grâce à la disponibilité de dispositifs hautement performants et de serveurs de calcul massifs, le décryptage des mots de passe peut être réalisé en quelques secondes. De plus, même si le fait de changer régulièrement de mot de passe peut sembler limiter les dommages, la réalité est que la plupart des attaquants ont déjà volé et utilisé les données nécessaires immédiatement après avoir dérobé le mot de passe. Dans un monde idéal, le renouvellement périodique des mots de passe renforcerait la sécurité. Cependant, l’expérience nous montre que la plupart des internautes, contraints de mémoriser leurs mots de passe, optent pour des modifications minimes et prévisibles lorsqu’on leur demande de les changer. Cela signifie que l’intention initiale de renforcer la sécurité est souvent compromise par des modifications prévisibles et des astuces mnémotechniques. Alors, comment renforcer sa sécurité sur internet ? Les mots de passe ne sont pas le seul moyen de se protéger. Quelques autres moyens de se protéger : … Un jour, il pourrait même être possible d’automatiser le changement des mots de passe pour améliorer la sécurité sans alourdir la charge cognitive des utilisateurs. Enfin, il est important de se rappeler que la sécurité des mots de passe est un aspect crucial, mais loin d’être le seul, de la sécurité en ligne. Des mesures de sécurité robustes et adaptées aux risques actuels sont essentielles pour protéger nos données et nos activités en ligne. Quand faut-il changer son mot de passe ? Peu importe la raison pour laquelle vous changez votre mot de passe, choisissez un nouveau mot de passe sans lien avec votre ancien mot de passe et ne réutilisez pas un mot de passe d’un autre compte.

22 mai 2023

Comment chiffrer ses mails ? Le chiffrement, mode d’emploi.

Le chiffrement est un processus qui consiste à transformer des données en un format illisible, appelé « chiffré », qui ne peut être compris que par une personne ou une entité qui possède la « clé » de déchiffrement. Le chiffrement peut être utilisé pour protéger les données stockées sur des appareils tels que les ordinateurs et les smartphones, ainsi que pour protéger les données en transit lorsqu’elles sont envoyées via Internet. Mettre en place ce procédé dans votre organisme a de nombreux avantages : Dans le cadre d’un audit de conformité RGPD, nous préconisons à nos clients de mettre en place ce type de solution. Nous pouvons également le paramétrer dans le cadre d’une mise en conformité. Pour des personnes non initiée à l’informatique, mettre en place un chiffrement des emails peut s’avérer fastidieux. Unitae RGPD a rédigé cet article de manière à le rendre compréhensible et concret pour la plupart des utilisateurs de ces solutions. Comment choisir une solution de chiffrement d’emails ? Lors de l’évaluation des options disponibles, il est important de tenir compte des facteurs suivants : Il existe 3 méthodes principales afin de chiffrer ses communications. Voici quelques-unes des options les plus courantes de chiffrement d’e-mails : 1 – PGP (Pretty Good Privacy) : PGP est un logiciel de chiffrement d’e-mails open-source qui utilise des clés publiques et privées pour chiffrer et déchiffrer les e-mails. Il est disponible sous forme de plugin pour plusieurs clients de messagerie, notamment Microsoft Outlook, Mozilla Thunderbird et Apple Mail. Avantages : Inconvénients : 2 – S/MIME : S/MIME (Secure/Multipurpose Internet Mail Extensions) C’est un standard de sécurité pour les e-mails qui utilise des certificats numériques pour chiffrer et signer les messages électroniques. Il est pris en charge par de nombreux clients de messagerie, notamment Microsoft Outlook et Apple Mail. Avantages : Inconvénients : 3 – Chiffrement basé sur le cloud : Certaines entreprises proposent des solutions de chiffrement basées sur le cloud qui chiffreront automatiquement les e-mails sortants et déchiffreront les e-mails entrants pour les utilisateurs autorisés. Ces solutions de chiffrement basées sur le cloud sont faciles à utiliser et ne nécessitent pas de configuration complexe. Avantages : Inconvénients : Bien, maintenant que vous connaissez les 3 méthodes différentes, vous devez choisir un client de messagerie qui vous proposera le chiffrement. Par exemple, sur Outlook, il est possible de chiffrer ses emails en allant dans les paramètres. L’expéditeur devra également avoir la licence Office 365 Entreprise. ATTENTION : Il ne sera plus possible de retrouver les emails par le contenu, vu qu’ils seront chiffrés. Cependant, Microsoft à laisser l’objet du mail non chiffré afin de permettre aux utilisateurs de faire leurs recherches. Quelles solutions disponibles pour mettre en place le chiffrement de ses emails : ProtonMail : ProtonMail est un service de messagerie sécurisé basé en Suisse. Il utilise un chiffrement de bout en bout pour protéger vos e-mails, ce qui signifie que même ProtonMail ne peut pas accéder à vos messages. ProtonMail offre également des fonctionnalités telles que la protection par mot de passe, la révocation de messages et la vérification en deux étapes. Avantages : Inconvénients : Tutanota : Tutanota est un autre service de messagerie sécurisé basé en Allemagne. Il utilise également un chiffrement de bout en bout pour protéger vos e-mails et offre des fonctionnalités telles que la vérification en deux étapes, la récupération de compte sécurisée et la protection contre les attaques par force brute. Avantages : Inconvénients : Virtru : Virtru est une solution de chiffrement d’e-mails basée sur le cloud qui fonctionne avec plusieurs clients de messagerie, tels que Gmail, Outlook et Yahoo. Virtru utilise un chiffrement de bout en bout pour protéger vos e-mails et offre des fonctionnalités telles que la révocation de messages, la protection par mot de passe et la protection contre les captures d’écran. Avantages : Inconvénients : Sendinc : Sendinc est un service de chiffrement d’e-mails basé sur le cloud qui fonctionne avec plusieurs clients de messagerie, tels que Outlook, Gmail et Yahoo. Sendinc utilise un chiffrement de bout en bout pour protéger vos e-mails et offre des fonctionnalités telles que la protection par mot de passe, la révocation de messages et le suivi des e-mails. Avantages : Inconvénients : Le paramétrage du chiffrement est assez simple lorsque l’on est guidé par la solution que vous préférez. Dans certains environnements, le chiffrement des emails est une solution envisageable lorsque l’on transfère de la données ou des informations complémentaires. Il vient en substitut de votre boite mail classique. Vous avez désormais toutes les cartes en main pour chiffrer vos emails. Nous restons à votre disposition si vous avez des questions sur le chiffrement.

31 mars 2023

RGPD et Données de Santé : Quelles sont les conditions de collecte et conservation ?

Les données de santé sont des données à caractère personnel particulièrement sensibles. A ce titre, elles bénéficient d’un régime de protection spécifique et de mesures de sécurité renforcées. Dans ce cadre la CNIL a publié 3 référentiels CNIL qui régissent particulièrement ces données santé : Auquel la CNIL adjoint : Un guide pratique sur les durées de conservation qui apporte une aide aux professionnels dans la définition pertinente des durées de conservation de leurs traitements de données personnelles Par la présente note de synthèse nous analysons les principaux axes réglementaires issus principalement de ces normes que tout organisme détenant ou gérant des données santé se doit de connaitre I. LES DONNÉES DE SANTÉ : LES INFORMATIONS CONCERNÉES 1.1 Définition des données de santé et exemples de données considérées comme telles Les données dites de santé sont définies comme : « Les données à caractère personnel relatives à la santé physique ou mentale d’une personne physique, y compris la prestation de soins de santé, qui révèlent des informations sur l’état de santé de cette personne ». Il s’agit des informations qui permettent d’identifier une personne et qui concernent son état de santé physique ou mental, passé, présent ou futur. Pratiquement, le RGPD considère que ces données de santé sont des données personnelles particulièrement sensibles en raison de leur nature. Les principales données de santé sont les suivantes : Cela peut inclure des informations telles que les antécédents médicaux, les résultats de tests, les diagnostics, les traitements, les allergies ou encore les handicaps. 1.2 Distinction entre les données de santé sensibles et non sensibles Certaines données de santé peuvent être considérées comme étant plus sensibles que d’autres, car elles révèlent des informations intimes ou confidentielles sur la personne concernée. C’est notamment le cas des données relatives à la sexualité, à la santé mentale, à la toxicomanie ou encore à la génétique. Il est important de noter que le RGPD ne fait pas de distinction entre les données de santé recueillies auprès d’un patient ou d’une personne en bonne santé. Ainsi, toutes les informations permettant d’identifier une personne et de révéler son état de santé sont considérées comme des données de santé et sont soumises aux règles de protection prévues par le RGPD. II. LES RÈGLES DU RGPD APPLICABLES AUX DONNÉES DE SANTÉ Le RGPD impose une interdiction générale de traitement des données de santé, sauf dans certains cas précis. En effet, eu égard à la sensibilité de ces données, leur traitement doit être encadré de manière très stricte pour garantir la protection des droits et des libertés des personnes concernées. Le traitement des données de santé est autorisé dans les cas suivants : III. CONDITIONS POUR LA COLLECTE DE DONNÉES DE SANTÉ : Le traitement des données de santé est en principe interdit par le RGPD, néanmoins celui-ci est venu poser deux exceptions : 3.1 L’obtention du consentement de la personne Le traitement des données de santé est autorisé dans le cas où la personne physique donne son accord au responsable de traitement. Le recueil du consentement est cependant soumis au respect de quatre critères cumulatifs. : A ce titre par exemple la manifestation du consentement doit être recherché par le médecin avant que celui-ci procède à un acte médical. Le code de la santé publique dispose que : “lorsque le malade, en état d’exprimer sa volonté, refuse les investigations ou le traitement proposés, le médecin doit respecter ce refus après avoir informé le malade de ses conséquences. Si le malade est hors d’état d’exprimer sa volonté, le médecin ne peut intervenir sans que la personne de confiance, à défaut, la famille ou un de ses proches ait été prévenu et informé, sauf urgence ou impossibilité.” Seul deux cas de malades n’ont pas à exprimer leur volonté : les mineurs et les majeurs sous tutelle. 3.2 LES EXCEPTIONS À L’OBLIGATION DE CONSENTEMENT Le RGPD prévoit plusieurs exceptions permettant le traitement des données de santé, notamment dans les situations ci-dessous : Dans certains cas, le traitement de données de santé doit être autorisé par la Commission nationale de l’informatique et des libertés (CNIL) : À l’exception des études « internes », tous les projets de recherche ou d’étude ou d’évaluation dans le domaine de la santé nécessitant un traitement de données de santé doivent faire l’objet d’une formalité préalable auprès de la CNIL. Ainsi, lorsqu’ils ne sont pas conformes à une méthodologie de référence, ces projets doivent être autorisés par la CNIL.La CNIL exigera la production d’une analyse d’impact pour instruire les demandes d’autorisation présentant une finalité d’intérêt public. (Voir demandes d’autorisation en santé : la CNIL publie les critères à respecter–06 février 2023)

20 mars 2023