✆ 01.77.19.15.65


RGPD et ses évolutions


RGPD : Quelles actions pour éviter la perte de données sensibles ?

#RGPD

Apres ou Avant l’Europe, les lois sur la protection des données personnelles se multiplient dans le monde entier. 

Les conséquences de l'irrespect des lois européennes

Rappel de quelques conséquences possibles :

  •  En vertu du règlement général sur la protection des données (RGPD), la CNIL (Commission nationale de l'informatique et des libertés) peut infliger aux organisations des amendes pouvant aller jusqu'à 4 % du chiffre d'affaires mondial. Un exemple récent est celui d'un prestataire informatique qui, à la suite d'un dysfonctionnement technique, avait fait disparaître un très important nombre de fichiers d'un de ses clients, spécialisé dans la construction de nacelles. Il a donc été condamné par la justice française à une amende de plus de 500 000 euros. [1]
  • Atteinte à la réputation de l’entreprise
  •  Grand préjudice aux personnes ou entités dont les données sont divulguées, volées ou perdues. Ces dernières ont la possibilité d'intenter des poursuites, ce qui ne fera qu'augmenter les coûts et porter atteinte à la réputation de l'entreprise.

Hier les données étaient statiques, aujourd’hui elles sont en mouvement…donc plus vulnérables.

Si l'industrie informatique a permis un traitement élaboré des données personnelles, elle a également facilité leur perte. Les systèmes et réseaux informatiques des entreprises disposent de toutes sortes de mesures pour minimiser le risque de violation des données, mais c'est plus ardu lorsque les données sont physiquement en mouvement. Combien de fois avez-vous entendu parler de téléphones mobiles, d'ordinateurs portables, de clés USB, de disques durs portables ou de disques optiques égarés ou volés ?

Très souvent, les données sont lisibles, soit immédiatement, soit très facilement, par toute personne suffisamment qualifiée et équipée. Si elles sont lisibles, c'est parce que, la plupart du temps, elles ne sont pas cryptées. Parmi les cas les plus délicats, il y a les dossiers de milliers de patients qui sont stockés sur une clé USB, par exemple. Ces dossiers contiennent généralement suffisamment d'informations personnelles sur un individu pour faciliter une usurpation d'identité.

Probablement toutes les entreprises ou organisations manipulent régulièrement des documents confidentiels qui pourraient avoir de graves conséquences s'ils tombaient entre de mauvaises mains. Il peut s'agir de documents financiers, juridiques, de secrets commerciaux ou de propriété intellectuelle. Chaque organisation saura ce qui est sensible et ce qui ne l'est pas. Lorsqu'elle le déplace d'un lieu à un autre, il serait logique de le crypter et de garder les codes d'accès secrets et/ou séparés du dispositif utilisé.

 

La sensibilisation du personnel et les nouvelles technologies de cryptage comme solutions à la violation des données

Comme toujours en matière de cybersécurité, l'humain est le point faible…et ce dans 70% des cas. Il connaît les identifiants et les mots de passe et s'il les partage, le travail du criminel est largement facilité. Toutes les personnes impliquées dans le partage de données sensibles doivent être conscientes des risques auxquels elles sont confrontées et de la manière de les éviter. Dans ce cadre, Weodeo en partenariat avec Kaspersky, propose en e- learning un programme de sensibilisation à la cybersécurité. Simple et facile d’utilisation il permet d’améliorer les consciences et les usages vis-à-vis de la cybersécurité….au rythmes de 10 minutes par semaine.

Contactez nous : Philippe Aymonod ; Weodeo

En savoir plus

La RGPD...encore beaucoup de travail pour être en conformité

#RGPD



A l’occasion de la Journée mondiale de la confidentialité des données qui aura lieu le 28 janvier prochain, où en sont les entreprises françaises avec leur conformité au RGPD ? Des indications avec le baromètre de Talend sur le sujet, qui se concentre sur les demandes d’accès et de portabilité des données. 


Plus de la moitié des entreprises sondées par Talend n’ont pas été en mesure de répondre aux demandes d’accès et de portabilité des données dans le délai d’un mois fixé par le règlement général sur la protection des données (RGPD). Un pourcentage qui s’élève à 58 % dans le monde et qui monte à 64 % en France.

Si l’on compare ce baromètre 2019 au précédent, sur les 16 sociétés françaises qui avaient échoué l’année dernière, 8 n’ont toujours pas fourni les données en décembre 2019.

Le secteur public, mauvais élève

Il est intéressant également de voir, en France, les secteurs d’activité les plus en avance ou en retard. Dans les transports et hôtellerie, si la moitié a réussi, l’autre moitié n’a pas répondu du tout. Le retail affiche 43 % de réussite tandis que dans les services financiers, 40 % des sociétés ont envoyé les données dans les 30 jours. Dans les médias, télécommunications et services publics, seulement 25 % des entreprises de ce secteur ont répondu en temps et en heure. Le secteur public se démarque, en mauvais élève, avec 17 % de réponse. 50 % n’ont pas répondu et pour 33 %, il n’était même pas possible de faire une demande…

L’année dernière, 76 % des entreprises en France n’avaient pu fournir les données personnelles dans un délai d’un mois. Si les résultats actuels ne sont pas glorieux, on note cependant une amélioration globale.

En savoir plus

RGPD, la CNIL épingle le ministère de l’intérieur

#RGPD

Le ministère de l’Intérieur devra prendre les mesures suffisantes pour garantir la sécurité des données personnelles collectées par les radars-tronçons, qui calculent la vitesse moyenne d’un véhicule sur une section de route, et s’assurer que ces données ne seront pas conservées au-delà des délais prévus par la législation, indique la CNIL. 

En cas de dépassement de la vitesse maximale autorisée, le radar-tronçon envoie automatiquement les données des véhicules concernés – plaques d’immatriculation des véhicules, clichés des véhicules et heure exacte de passage – au Centre national de traitement du contrôle automatisé de Rennes, chargé de l’envoi de la contravention. Ces informations sont « des données à caractère personnel« , souligne la Cnil et les dispositifs de collecte « doivent donc respecter la législation « Informatique et libertés ».

Sur ce plan, la Cnil a constaté plusieurs manquements. L’autorité a constaté que le les durées de conservation définies par l’arrêté du 13 octobre 2004 modifié portant création du système de contrôle automatisé ne sont pas respectées. « En particulier, le contrôle a permis de constater que les numéros de plaque d’immatriculation des véhicules n’ayant pas commis d’infraction sont conservés plus de 13 mois pour les numéros complets, et plus de 4 ans pour les numéros tronqués de deux caractères, bien au-delà du délai de vingt-quatre heures prévu par l’arrêté« , note-t-elle. Le ministère de l’Intérieur devra donc purger et supprimer ce stock de données.

Par ailleurs, la Cnil reproche au ministère le manque de sécurité des données personnelles traitées : elle a constaté « un manque de robustesse des mots de passe, une traçabilité insatisfaisante des accès et une gestion insuffisante des droits d’accès à l’application au niveau du prestataire du ministère« .

Le ministère de l’intérieur a trois mois pour se conformer à la loi Informatique et Libertés.

En savoir plus

le RGPD alourdira les dépenses dans les 2 ans à venir

#RGPD

Selon une étude IDC sponsorisée par Wallix, en particulier en raison de la mise en conformité avec le Règlement général sur la protection des données (RGPD), les dépenses consacrées à la sécurité IT – hors salaires – continueront de progresser en 2019.

Si 43 % des entreprises interrogées cherchent à stabiliser leurs dépenses, la tendance est à la hausse, pour 77 % des entreprises, c’est la mise en conformité avec le Règlement général sur la protection des données qui va le plus contribuer à alourdir les dépenses de sécurité dans les 2 ans à venir.
Les résultats sont différents selon la taille des entreprises.

-     54 % des organisations d’au moins 1 000 salariés vont augmenter leurs dépenses de sécurité en 2019

-     39 % des entreprises de 500 à 999 salariés.

Dans ce contexte, IDC estime qu’en France :

-     les dépenses de sécurité IT en matériel, logiciels et services des entreprises progresseront de 9,1 % en 2019 pour atteindre 2,9 milliards d’euros.

-     Les dépenses en services qui enregistreront la plus forte croissance avec 9,9%.

-     Sur le segment des logiciels, en croissance de 8,3%, ce sont les dépenses en logiciels de gestion de la sécurité et des vulnérabilités et les solutions de gestion des identités et des accès qui affichent les plus fortes croissances, avec respectivement 12,3% et 12,1%.

Weodeo certifié sur la cybersécurité utilise des méthodes éprouvées mais aussi des gammes de produits reconnus sur le marché : Kaspersky et Fortinet.

Par ailleurs, dans ses contrats d’infogérance pour entreprise nous utilisons des sondes préventives nous permettant de suivre les évolutions de votre écosystème.

En savoir plus

Quelles sont Les étapes à suivre si vous êtes victime d’une fraude bancaire

#RGPD

Ces dernières années, les cartes bancaires sont les nouvelles cibles du piratage. 850 000 foyers ont été victimes de ce phénomène…. et ce taux ne fera qu’augmenter avec les nouveaux sites frauduleux qui naissent en masse chaque jour, les pirates qui s’adaptent très facilement à l’essor de la technologie dont principalement l’essor fulgurante de l’e-commerce. Fort heureusement, les moyens utilisés par les professionnels sont aujourd’hui performants et permettent de palier à ce fléau et éviter les attaques sur la carte bancaire et le vol de vos coordonnées. Employez donc les méthodes les plus efficaces pour ne pas tomber dans le rouage des prélèvements automatiques non désirés engendrés par le piratage.

Etape 1 : La sécurisation de votre ordinateur


Le choix de l’antivirus
Les logiciels de sécurité comme kaspersky advanced jouent un rôle majeur dans la prévention des fraudes bancaires. Les critères de choix de l’antivirus doivent être stricts. Optez pour un antivirus puissant qui puisse vous alerter des phishings, assurer une protection contre des courriels indésirables sur votre email, une navigation sécurisée, et qui intègre un pare-feu et un clavier virtuel…des données cryptées et encore beaucoup d’autres options de sécurité informatique.


L’installation d’un anti-malware


Les concepteurs d’antivirus incorporent aujourd’hui la fonction permettant de défendre vos machines contre les malwares. Néanmoins pour une protection optimale, il serait prudent d’effectuer l’installation d’un anti-malware pour agir en complément de votre antivirus.

Etape 2 : La sécurisation de vos moyens de communication


Le choix d’un VPN de qualité
Le VPN,de chez fortinet est un dispositif spécifique pour le chiffrage des échanges sur internet. D’une grande puissance puisqu’il est numéro mondial avec Palo alto, il sert à sécuriser votre communication passant par un réseau ou par internet. Les Wifi public présentent un danger pour vos appareils et un moyen facile pour les pirates d’accéder à vos coordonnées bancaires. Installez un VPN de haute qualité pour que votre numéro de carte bancaire soit à l’abri du piratage.

Le renforcement de la protection de vos données personnelles
Les virus mis en place par les pirates exposent les informations que vous notez sur votre compte de messagerie personnel. Parce que les internautes utilisent quotidiennement ce moyen pour communiquer leurs données personnelles, les malwares s’y incrustent sans que vous ne vous en rendiez compte. Pour ne pas subir les conséquences d’un piratage d’informations confidentielles et l’interception de vos échanges avec votre banque en ligne par ces attaques, pensez à la sécurisation de votre compte par la connexion à vos boîtes de messages en deux étapes, le choix d’une question privée à laquelle vous seul aurez la réponse et surtout le choix d’un mot de passe fort avec des codes et des signes peu basiques, que vous n’aurez pas utilisé pour vous connecter sur d’autres sites ou réseaux sociaux. Si vous avez peur de l’oublier, utilisez un gestionnaire de mot de passe, comme celui présent dans Kaspersky advanced

Etape 3 : Des comportements adaptés …La sécurisation de vos paiements en ligne


Les bons gestes à adopter
Les achats en ligne facilitent le quotidien certes, mais il est impératif que vous effectuiez vos achats en adoptant les bons gestes. De ce fait, lorsque vous achetez en ligne depuis un endroit public, pensez à le faire très discrètement, à ne pas enregistrer les sites où vous avez fourni vos données personnelles, de fermer correctement les pages de navigation et d’en effacer l’historique.

Le choix des sites d’achat
Ne faites pas d’achats hâtifs sans prendre le soin de vérifier les informations sur les sites internet sur lequel vous souhaitez entamer la transaction. Les sites Ecommerce légitimes disposent tous d’une page « Mentions Légales ». Préférez les boutiques en ligne connues et fiables.

Etape 4 : La vérification régulière du solde sur votre compte bancaire


La vérification régulière de votre solde va vous signaler au plus vite si des prélèvements inconnus s’effectuent sur votre carte bleue. Cette attention vous aidera à agir à temps avant que vous ne subissiez des risques trop importants et irréversibles. 

En savoir plus

Les plaintes à la Cnil en forte hausse de 32 % en 2018

#RGPD

Le nombre de plaintes déposées auprès de la Cnil, chargée de s’assurer du bon usage des données personnelles, a augmenté de plus de 32 % en 2018, principalement du fait de l’entrée en vigueur du Règlement européen de protection des données (RGPD) en mai dernier.

Sur l’ensemble de l’année, 11 077 plaintes, contre 8 300 en 2017 souligne la Commission nationale de l’informatique et des libertés a enregistré

jusqu’ici, la Cnil s’était placée dans une logique d' »accompagnement » des entreprises afin de les aider à appliquer les nouvelles obligations du RGPD, avec une forte hausse des sollicitations de la part de professionnels, elle rappelle dans un communiqué qu’elle devrait désormais être davantage dans une logique de sanction. « Nous allons également nous concentrer particulièrement sur les collectivités locales afin de les accompagner, notamment via la publication d’un guide à leur intention d’ici l’été« , a ajouté la nouvelle présidente de la Cnil, Marie-Laure Denis, lors d’une conférence de presse.

A ce sujet, sur les 310 contrôles réalisés en 2018, 49 ont donné lieu à une mise en demeure, avec parmi les premiers secteurs visés l’assurance et les entreprises spécialisées dans le ciblage publicitaire via les applications mobiles.
Onze sanctions ont également été prononcées, dont dix sanctions pécuniaires, sept d’entre elles concernant des atteintes à la sécurité des données personnelles. Parmi les enteprises concernées figurent Uber, Bouygues Telecom, Dailymotion et Optical Center.

Diffusion des données sur Internet, commerce et marketing

Pour plus d’un tiers d’entre elles (35,7 %), les plaintes reçues concernaient la diffusion de données sur internet, avec une demande de suppression de ces données, qu’il s’agisse de données d’identité, de comptes, de photos ou de vidéos. L’association belge EU Disinfolab concentre à elle seule plusieurs centaines de plaintes à la suite d’une étude réalisée durant l’été sur la provenance des tweets consacrés à l’affaire Benalla.
Le commerce et marketing constitue le second secteur suscitant le plus de plaintes, pour 21% du total, avec en particulier une « très forte hausse des plaintes concernant la prospection par SMS« , qui se fait le plus souvent sans consentement préalable.
Parmi les autres secteurs concernés, les ressources humaines, en particulier la vidéosurveillance excessive ou la géolocalisation, font l’objet de 16,5% des plaintes.
La Cnil signale en revanche une nette amélioration des pratiques dans le domaine de la santé après la sanction de 10 000 euros prononcée contre un professionnel en 2017.

La présidente de la commission a par ailleurs profité de l’occasion pour rappeler qu’elle estimait les effectifs de la Cnil « sous-dimensionnés par rapport aux missions« , relevant cependant une « prise de conscience des pouvoirs publics afin de mettre en adéquation les enjeux et les moyens« .

En savoir plus

Quels cyber-risques pour l’entreprise ? Rapport 2018 de l’ANSSI

#RGPD

L’ANSSI a listé 5 grandes tendances concernant les attaques contre les entreprises en France et en Europe.

Si les attaques les plus visibles prennent la forme de sabotage, « l’espionnage est le risque qui pèse le plus sur les organisations », indique l’agence. Bénéficiant d’un financement important, les attaquants s’intéressent de plus en plus aux secteurs d’activité d’importance vitale et aux infrastructures critiques spécifiques, comme les secteurs de la défense, de la santé ou encore de la recherche. Pourquoi ? « Des groupes très organisés préparent ce qui ressemble aux conflits de demain, en s’introduisant dans les infrastructures des systèmes les plus critiques », affirme Guillaume Poupard, directeur général de l’ANSSI.

L’agence a également observé une augmentation des attaques dites » indirectes », qui ciblent un ou plusieurs intermédiaires, comme le fournisseur ou le prestataire d’une entreprise. Une manière de contourner les mesures de sécurité de très grandes organisations.

Les opérations de déstabilisation et d’influence ont été particulièrement nombreuses en 2018, note aussi l’ANSSI. Sans être très sophistiquées, ces attaques ont un fort impact symbolique, lié à la nature des cibles visées et aux revendications dont elles font l’objet.

Autre phénomène : la multiplicité d’attaques visant à générer des cryptomonnaies, ce que l’on appelle les mineurs de cryptomonnaies.

Enfin, l’agence a constaté une montée en puissance de la fraude en ligne, en particulier sur les collectivités territoriales et les acteurs du secteur de la santé.

En savoir plus

RGPD : La Cnil va-t-elle monter d’un cran ?

#RGPD

3 axes cette année de contrôle : le respect des droits, le traitement des données des mineurs, et la répartition des responsabilités entre responsable de traitements et sous-traitants.

La phase de transition est dorénavant terminée, prévient l’Autorité de contrôle…« En s’abstenant jusqu’ici de sanctionner le non-respect des obligations nouvelles du RGPD, et en focalisant son action répressive sur les obligations s’inscrivant dans la continuité de la loi du 6 janvier 1978, la CNIL souhaitait permettre aux responsables de traitement de comprendre et d’assimiler progressivement les exigences du RGPD adopté en 2016« ,

Le respect des nouvelles obligations (analyse d’impact, portabilité des données, tenue d’un registre des traitements et des violations) va être pleinement vérifié et, en cas de manquements, les sanctions suivront.

A quels contrôles d’attendre ?

La CNIL s’attaque aux plaintes portant sur le non-respect de l’exercice d’un droit, alors qu’elles ont représentés 73 % de celles reçues en 2018 par l’Autorité. Pour le RGPD, l’obligation de portabilité des données sera dans le viseur. Les entreprises doivent assurer une réponse claire et complète aux personnes, et cela dans le respect des délais prévus par les textes.

Deuxième axe de contrôle : le traitement des données des mineurs, un public « vulnérable ». Une thématique vaste, qui va de la publication de contenus sur les réseaux sociaux à la mise en œuvre de traitements biométriques dans les écoles.

Enfin, la CNIL s’attaque aux nouvelles obligations pesant sur les sous-traitants et dont ils sont directement comptables avec le RGPD. « Orienter la politique de contrôle, notamment sur l’existence et le respect du contrat de sous-traitance, permettra de s’assurer de la mise en œuvre concrète de ces nouvelles obligations susceptibles d’être à l’origine de nombreux manquements« , prévient-elle.

De façon plus conjoncturelle, la CNIL prendra en compte les réclamations et les signalements qui lui auront été adressés, continuera ses vérifications à la suite de clôture, de mises en demeure ou de sanctions, ou des sujets d’actualité qui se présenteront. L’Autorité compte également renforcer les opérations de contrôles conjointes avec ses homologues européens.

En savoir plus

Données personnelles : action de l ONG Internet Society France contre Facebook

#RGPD

Données personnelles : assignation en septembre pour l’action de groupe française menée par l’ONG Internet Society France contre Facebook.  Pour l’ONG, « Facebook s’estime au-dessus des lois ».


L’ONG Internet Society France déposera en septembre son assignation contre Facebook devant la justice française, l’une des premières actions de groupe utilisant la nouvelle législation européenne sur la protection des données personnelles, vient-t-elle d’indiquer. « Grâce au RGPD, des structures compétentes sur la question des données personnelles peuvent saisir les tribunaux en cas de violation de ces dernières. L’ONG Internet Society France, à travers son initiative E-Bastille, s’est saisie de ce nouveau droit et a mis en demeure Facebook il y a 4 mois. Une période qui aurait pu servir au réseau social pour se mettre en conformité. 4 mois plus tard, Facebook ne prend pas au sérieux les requêtes des internautes et ouvre ainsi la voie à une poursuite judiciaire de l’action« , a-t-elle expliqué dans un communiqué.


Pour l’instant, près de 1 000 personnes ont donné mandat à l’Internet Society pour assigner Facebook en leur nom, pour des manquements à la législation sur la protection des données personnelles, a indiqué Nicolas Chagny, le président de l’Internet Society France. « Notre objectif est d’aller jusqu’à 100 000« , a-t-il indiqué, en précisant que les noms pourraient venir se rajouter tout au long de la procédure devant la justice.


Une action articulée autour de 7 griefs


L’Initiative E-Bastille de l’Internet Society France recueille depuis mai 2018 des doléances d’internautes. Le 8 novembre dernier, l’ONG a engagé la première action de groupe indemnitaire fondée sur une violation alléguée de la réglementation européenne en matière de données personnelles. Articulée autour de 7 griefs (lire encadré ci-dessous), qui ont été portés à la connaissance de Facebook, elle est dirigée contre Facebook France, Facebook Inc., la maison mère, et Facebook Ireland. Par ailleurs, « par son refus de s’expliquer s’agissant des sociétés Facebook France et Inc., par son renvoi en Irlande pour la Société Facebook Irlande, le Groupe Facebook signifie aux utilisateurs français et d’Europe continentale qu’elle leur dénie un droit humain élémentaire« , a détaillé l’ONG. Pour Nicolas Chagny, « cette attitude scandaleuse de négation du droit à la justice sur le sol français constitue en soi un huitième grief et nous entendons bien le soumettre aux juridictions compétentes. »


 

Les 7 griefs sur lesquels l’Internet Society France a alerté Facebook :

1. La sécurisation efficace des données personnelles des membres de Facebook, suite aux récentes attaques.

2. En cas de faille de sécurité, les utilisateurs semblent ne pas tous avoir été correctement informés.

3. Des cookies traceurs récoltent des informations d’individus non membres mais consultant le réseau social Facebook.

4. Les CGU (conditions générales d’utilisation) de Facebook limitent ses responsabilités sur les données personnelles.

5. Le réseau social collecte l’orientation sexuelle, les opinions politiques et les croyances religieuses de ses membres.

6. Le consentement « libre et éclairé » des utilisateurs de Facebook et Whatsapp n’est pas explicite, car noyé dans les conditions générales d’utilisation. Or un croisement de données des plateformes est opéré.

7. Il est impossible de s’opposer partiellement au traitement des données de Facebook, ce qui entre en infraction avec le RGPD.


Créer une jurisprudence


L’ONG veut obtenir en justice que les plaignants soient indemnisés pour ces manquements, a expliqué Nicolas Chagny. « Notre objectif » est de « créer une jurisprudence« , a-t-il expliqué. « Quand on aura réussi cela, je pense que les actions collectives contre les Gafa vont se multiplier, parce qu’il y aura une valeur étalon » qui aura été donnée par la justice à ces préjudices, a-t-il indiqué.


En parallèle, un manifeste intitulé « Déclaration citoyenne pour la protection de nos données personnelles », signé par des personnalités du Web, est publié ce mardi par E-Bastille, pour rappeler à quel point les droits numériques des internautes sont des droits humains à part entière. « Il alerte sur les dommages qui peuvent être causés par le non-respect des données personnelles et appelle à une prise de conscience sociétale sur ces enjeux démocratiques majeurs« , indique l’ONG.

En savoir plus

La RGPD...et

#RGPD

Le Règlement général sur la protection des données (RGPD) est désormais en vigueur depuis mai 2018, mais il reste assez méconnu. Voici une FAQ pour répondre aux principales questions que vous vous posez.

Qu’est-ce que le RGPD ?

Le Règlement général sur la protection des données (RGPD ou GDPR, pour General data protection regulation en anglais) est le nouveau cadre européen concernant le traitement et la circulation des données à caractère personnel, ces éléments sur lesquels les entreprises s’appuient pour proposer des services et des produits. Ce texte couvre l’ensemble des résidents de l’Union européenne.

But du RGPD Quel est l’objectif du RGPD ?

L’objectif du RGPD est d’être le nouveau texte de référence dans l’Union européenne au sujet des données personnelles, en remplaçant une directive datant de 1995.

Donnée personnelle ?C’est quoi une donnée personnelle ?

Une donnée personnelle (ou donnée à caractère personnel) est une information qui permet d’identifier une personne physique, directement ou indirectement. Il peut s’agir d’un nom, d’une photographie, d’une adresse IP, d’un numéro de téléphone, d’un identifiant de connexion informatique, d’une adresse postale, d’une empreinte, d’un enregistrement vocal, d’un numéro de sécurité sociale, d’un mail, etc.

Certaines données sont sensibles, car elles touchent à des informations qui peuvent donner lieu à de la discrimination ou des préjugés :

Une opinion politique, une sensibilité religieuse, un engagement syndical, une appartenance ethnique, une orientation sexuelle, une situation médicale ou des idées philosophiques sont des données sensibles. Elles ont un cadre particulier, qui interdit toute collecte préalable sans consentement écrit, clair et explicite, et pour des cas précis, validés par la CNIL et dont l’intérêt public est avéré.

Et pour l'internaute ?Que change le RGPD pour l’internaute ?

Du point de vue de l’internaute, le RGPD met en place ou conforte un certain nombre de protections. Il faut par exemple que les entreprises récoltent au préalable un consentement écrit, clair et explicite de l’internaute avant tout traitement de données personnelles, ou qu’elles s’assurent que les enfants en-dessous d’un certain âge aient bien reçu l’aval de leurs parents avant de s’inscrire sur un réseau social.

Le RGPD inclut aussi une reconnaissance d’un droit à l’oubli pour obtenir le retrait ou l’effacement de données personnelles en cas d’atteinte à la vie privée, le droit à la portabilité des données, pour pouvoir passer d’un réseau social à l’autre, d’un FAI à l’autre ou d’un site de streaming à l’autre sans perdre ses informations, le droit d’être informé en cas de piratage des données.

Les internautes peuvent aussi être défendus par les associations dans le cadre d’une action de groupe en vue de faire cesser la partie illicite d’un traitement de données.

Un accord parental est requis pour inscrire un jeune sur un réseau social.

Qui est concerné ?Qui doit se conformer au RGPD ?

Toute entité manipulant des données personnelles concernant des Européens doit se conformer, qu’il s’agisse d’une entreprise, d’un sous-traitant ou même d’une association. Attention : le texte ne s’applique pas qu’aux organisations établies sur le territoire du Vieux Continent. Un groupe américain, japonais ou chinois qui collecte et mouline des données personnelles européennes doit aussi s’y conformer.

Des géants comme Google, Facebook, Amazon ou encore Uber doivent donc tenir compte des modalités du RGPD s’ils veulent continuer sans risque à fournir des biens et des services à la population européenne. La taille de l’entreprise, son secteur d’activité ou son caractère public ou privé n’entre pas en ligne de compte. Même une petite startup qui se lance dans de l’e-santé doit aussi être dans les clous.


En cas d'infraction ?Quelles sont les sanctions prévues par le RGPD ?

Les organisations ont tout intérêt à respecter à la lettre le RGPD car les plafonds des sanctions sont particulièrement élevés : en cas d’infraction, des amendes jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent sont prévues pour l’organisme fautif, sachant que c’est le montant le plus élevé qui est retenu entre les deux cas de figure.

Il faut imaginer ce que cela peut représenter pour des géants du net si une procédure est lancée contre eux. L’amende pourrait atteindre des dizaines ou des centaines de millions de dollars, voire davantage. Il convient aussi de noter qu’une société doit veiller à ce que son sous-traitant reste bien dans les clous de la loi, sous peine d’en subir les conséquences, du fait de sa qualité de responsable du traitement.

Cela étant, les multinationales ne sont pas nécessairement les plus exposées : si ce sont elles qui risquent les amendes les plus fortes, elles ont des détachements de juristes et d’experts qui travaillent déjà à plein temps depuis des mois pour être absolument dans les clous du RGPD. Le risque est en revanche plus grand pour les entités plus petites, comme une TPE, une PME ou une association.


Moyens de la CNIL Quels moyens pour la CNIL ?

En France, la Commission nationale de l’informatique et des libertés (CNIL) est l’autorité de référence pour gérer le RGPD. Elle dispose d’un budget annuel supérieur à 17 millions d’euros et compte dans ses rangs environ 200 personnes. Sur le temps long, c’est-à-dire en regardant l’évolution des moyens et des effectifs de la CNIL sur plusieurs années, il y a une hausse qui est réelle.

L’arrivée du RGPD a toutefois convaincu le gouvernement de renforcer un peu plus les moyens de la CNIL, en permettant à l’autorité administrative indépendante d’ouvrir 15 postes supplémentaires afin qu’elle ait « les moyens d’assumer ses nouvelles missions ». Une mesure nécessaire pour absorber la hausse du volume des plaintes, qui a bondi de 56 % depuis l’application du RPGD.

Marie-Laure Denis, la nouvelle présidente de la CNIL. // Source : DR-CSA

Actions en coursActions en cours

Depuis le 25 mai 2018, deux grands recours s’appuyant sur le RGPD ont été lancés : le premier a été enclenché par le juriste autrichien Maxilimilian Schrems, véritable bête noire des géants du Net pour son activisme en faveur de la protection des données personnelles. Dès le jour J, il a lancé des actions contre Google et Facebook (dont ses filiales WhatsApp et Instagram) pour une mauvaise collecte du consentement préalable.

L’autre action à relever est celle menée par La Quadrature du Net, même si l’approche est un peu différente. En effet, l’association française a annoncé en avril vouloir faire une action de groupe contre Google, Apple, Facebook, Amazon et Microsoft. Là encore, ces entreprises sont accusées d’obtenir incorrectement le consentement des internautes au regard du RGPD.

Dans un registre moins judiciaire, il y a aussi l’intervention de l’UFC-Que Choisir qui reproche aux grandes entreprises américaines (Google, Facebook et Microsoft) de faire usage de tactiques comportementales et de design pour orienter l’usager quand il se trouve dans les réglages des paramètres de confidentialité. L’association a alerté la CNIL sur ces pratiques.

En savoir plus