Yzico

RGPD

Actualités et sanctions du mois d'avril

Un article de Mégane DIDIER

Juriste RGPD et droit social

Parole d’experts

RGPD : actualités et sanctions du mois d'avril

Le 4 mai 2022

Analyses, dossiers, vidéos, aide à la décision et livres blancs. Nos équipes vous proposent les dernières évolutions, dossiers, sanctions et toutes les actualités liées au RGPD du mois d'avril 2022.

RGPD : actualités et sanctions du mois d'avril

Cadre transatlantique pour la protection des données personnelles : on avance… 

Prenez 10 minutes pour adopter de meilleurs réflexes pour votre vie privée numérique 

Taper son prénom et nom dans un moteur de recherche 

  • Nom+prenom+réseau social :  Si des publications « gênantes » apparaissent, vous avez mal configuré vos paramètres… 

Dans ce cas :  Droit au déréférencement    

  • Nom+prenom+pseudo :  si vous pensiez être tranquille sur internet derrière votre « pseudo » c’est raté, changez-en… 
  • Nom+Prenom+Poste ou emploi ou entreprise :  Si des réponses qui datent d’une « vie antérieure » apparaissent et vous gênent … 

Dans ce cas : Droit de rectification

Les petits rappels qui ne font pas de mal : 
> Un mot de passe différent pour chaque utilisation
> Des mots de passe suffisamment complexes 
> Avoir plusieurs adresses email en fonction des usages, voir même des boites « poubelles » 
> Utiliser des pseudos différents sur différents sites 
> Bien gérer la confidentialité sur les réseaux sociaux 

Le guide du délégué à la protection des données 

Le guide du DPO regroupe les principales connaissances utiles et bonnes pratiques pour aider les organismes publics ou privés dans leur réflexion sur la désignation et accompagner les DPO déjà en poste. 
   
Vous retrouverez dans ce guide les principales connaissances utiles sur le DPO, en s’appuyant sur sa pratique d’accompagnement des délégués et avec l’aide de nombreuses associations professionnelles. 
   
Cet outil est organisé en quatre parties :   

  1. Le rôle du DPO 
  2. La désignation du DPO 
  3. L’exercice de la fonction du DPO 
  4. L’accompagnement du DPO par la CNIL  

Téléchargez le guide :  format PDF
Pour approfondir sur la fonction de DPO :  ICI
 
 

Les sanctions du mois d’avril

Mises en demeure 

La présidente de la CNIL a adressé trois mises en demeure à des sociétés pour avoir transmis à des partenaires des données personnelles de clients potentiels (prospects) sans recueil du consentement.   

  • Transmission des données pour de la prospection par téléphone 
  • Transmission et réutilisation des données pour de la prospection commerciale par courriel et SMS 

Dans les deux cas sans consentement explicite des personnes

La publication de la CNIL : ICI
    
 

1,5 million d’euros pour la société DEDALUS BIOLOGIE

Le 15 avril 2022, la formation restreinte de la CNIL a sanctionné la société DEDALUS BIOLOGIE d’une amende de 1,5 million d’euros, notamment pour des défauts de sécurité ayant conduit à la fuite de données médicales de près de 500 000 personnes. 


La CNIL à sanctionné des manquements aux articles 28, 29 et 32 

Le 29 par exemple, simplement lors d’une migration de logiciel pour avoir extrait plus de données que nécessaire et par la même avoir mis en danger les données personnelles des personnes. 
   
Le 32 pour ne pas avoir mis en place des mesures de protection, pas de chiffrement, des dossiers temporaires « publics » sur les serveurs… 

Cette amende devrait faire réfléchir…  Qui n’a jamais exporté par souci de simplicité plus de données que nécessaire ?  Qui ne les a jamais déposés sur un partage, un dropbox ou équivalent sans totalement savoir qui y avait accès ? 

  
Le détail de la sanction est  ICI  
L’histoire de cette fuite de donnée :  ZATAZ
 
 

Un ex-employé de Cash App vole les données de 8,2 millions d’utilisateurs 

Le service de paiement mobile Cash App a fait état d’une importante faille de sécurité impliquant un ancien employé et concernant plus de 8 millions d’utilisateurs américains de son système. 
   
La société précise que « normalement » les comptes des employés sont fermés quand ils quittent la société… 
   
Cette affaire nous rappelle qu’il faut être vigilant sur les comtes utilisateurs, limiter les droits au minimum nécessaire, et fermer immédiatement les comptes des collaborateurs qui quittent la société. 
   
L’utilisation de comtes « génériques » un seul compte pour tout un service, des comptes « stagiaires » sont à proscrire. 

Dans tous les cas il est difficile d’empêcher un collaborateur d’extraire des données dans le cadre de son travail. Toutefois il existe des logiciels qui analysent les comportements des utilisateurs pour détecter des accès ou des volumes inhabituels. Dans les services qui manipulent des données sensibles, l’utilisation de ce type de systèmes est préconisée. 

RGPD : assurez votre mise en conformité !

Comme la démarche peut s’avérer complexe, Mégane DIDIER & l’équipe d’experts en mise en conformité RGPD se tiennent à votre disposition pour échanger sur la mise en place de ce règlement au sein de votre structure et ainsi sécuriser le traitement de vos données.

Ces articles
pourraient vous plaire

Notre entreprise composée d’équipes lorraines, alsaciennes, parisiennes et champardennaises, ancrées depuis des décennies dans le Grand Est, leur assure une connaissance parfaite du territoire, pour comprendre le marché dans lequel évolue nos clients-entrepreneurs. Anticiper, conseiller, et accompagner le dirigeant dans un monde en perpétuel mouvement constitue l’ADN de notre entreprise.

Trouver mon agence Appeler