Cadre transatlantique pour la protection des données personnelles : on avance…
Le 6 avril 2022, le Comité européen de la protection des données (CEPD) a publié une déclaration sur l’accord de principe entre la Commission européenne et les États-Unis sur un projet de cadre transatlantique de protection des données personnelles annoncé le 25 mars 2022.
La présidente la Commission européenne et le président des États-Unis ont donc signé un accord de principe concernant un nouveau cadre légal transatlantique. Après le rejet de Safe Harbor et Privacy Shield, les entreprises qui effectuent des transferts de données depuis l’Europe vers les États-Unis se trouvent dans une insécurité juridique, les obligeant à avoir recours à des Clauses Contractuelles Types (CCT) jusqu’à aujourd’hui. C’est pourquoi cet accord sur la protection des données est tant attendu de notre côté de l’Atlantique.
Il ne s’agit bien évidemment que d’un accord politique de principe qui vise à établir des mesures « sans précédent » pour protéger la vie privée et les données personnelles des individus de l’Espace économique européen (EEE) quand leurs données sont transférées vers les États-Unis. Mais c’est déjà un premier pas pour sortie de l’état actuel qui ressemble plus à une jungle qu’à une entente entre états.
Pour l’instant cet accord n’est pas un cadre légal, le CEPD devra examiner comment traduire cela en propositions juridiques concrètes. Travail qui s’annonce long et fastidieux.
La question reste à ce jour de savoir si cette nouvelle proposition saura répondre aux exigences de la CJUE et si, enfin, les entreprises pourront effectuer des transferts de données vers les États-Unis en assurant à leurs utilisateurs la protection de leurs données.
Le texte de la déclaration du CEPD est disponible ICI.
Prenez 10 minutes pour adopter de meilleurs réflexes pour votre vie privée numérique
Taper son prénom et nom dans un moteur de recherche
- Nom+prenom+réseau social : Si des publications « gênantes » apparaissent, vous avez mal configuré vos paramètres…
Dans ce cas : Droit au déréférencement
- Nom+prenom+pseudo : si vous pensiez être tranquille sur internet derrière votre « pseudo » c’est raté, changez-en…
- Nom+Prenom+Poste ou emploi ou entreprise : Si des réponses qui datent d’une « vie antérieure » apparaissent et vous gênent …
Dans ce cas : Droit de rectification
Les petits rappels qui ne font pas de mal : > Un mot de passe différent pour chaque utilisation > Des mots de passe suffisamment complexes > Avoir plusieurs adresses email en fonction des usages, voir même des boites « poubelles » > Utiliser des pseudos différents sur différents sites > Bien gérer la confidentialité sur les réseaux sociaux
Le guide du délégué à la protection des données
Le guide du DPO regroupe les principales connaissances utiles et bonnes pratiques pour aider les organismes publics ou privés dans leur réflexion sur la désignation et accompagner les DPO déjà en poste.
Vous retrouverez dans ce guide les principales connaissances utiles sur le DPO, en s’appuyant sur sa pratique d’accompagnement des délégués et avec l’aide de nombreuses associations professionnelles.
Cet outil est organisé en quatre parties :
- Le rôle du DPO
- La désignation du DPO
- L’exercice de la fonction du DPO
- L’accompagnement du DPO par la CNIL
Téléchargez le guide : format PDF
Pour approfondir sur la fonction de DPO : ICI
Les sanctions du mois d’avril
Mises en demeure
La présidente de la CNIL a adressé trois mises en demeure à des sociétés pour avoir transmis à des partenaires des données personnelles de clients potentiels (prospects) sans recueil du consentement.
- Transmission des données pour de la prospection par téléphone
- Transmission et réutilisation des données pour de la prospection commerciale par courriel et SMS
Dans les deux cas sans consentement explicite des personnes.
La publication de la CNIL : ICI
1,5 million d’euros pour la société DEDALUS BIOLOGIE
Le 15 avril 2022, la formation restreinte de la CNIL a sanctionné la société DEDALUS BIOLOGIE d’une amende de 1,5 million d’euros, notamment pour des défauts de sécurité ayant conduit à la fuite de données médicales de près de 500 000 personnes.
La CNIL à sanctionné des manquements aux articles 28, 29 et 32
Le 29 par exemple, simplement lors d’une migration de logiciel pour avoir extrait plus de données que nécessaire et par la même avoir mis en danger les données personnelles des personnes.
Le 32 pour ne pas avoir mis en place des mesures de protection, pas de chiffrement, des dossiers temporaires « publics » sur les serveurs…
Cette amende devrait faire réfléchir… Qui n’a jamais exporté par souci de simplicité plus de données que nécessaire ? Qui ne les a jamais déposés sur un partage, un dropbox ou équivalent sans totalement savoir qui y avait accès ?
Le détail de la sanction est ICI
L’histoire de cette fuite de donnée : ZATAZ
Un ex-employé de Cash App vole les données de 8,2 millions d’utilisateurs
Le service de paiement mobile Cash App a fait état d’une importante faille de sécurité impliquant un ancien employé et concernant plus de 8 millions d’utilisateurs américains de son système.
La société précise que « normalement » les comptes des employés sont fermés quand ils quittent la société…
Cette affaire nous rappelle qu’il faut être vigilant sur les comtes utilisateurs, limiter les droits au minimum nécessaire, et fermer immédiatement les comptes des collaborateurs qui quittent la société.
L’utilisation de comtes « génériques » un seul compte pour tout un service, des comptes « stagiaires » sont à proscrire.
Dans tous les cas il est difficile d’empêcher un collaborateur d’extraire des données dans le cadre de son travail. Toutefois il existe des logiciels qui analysent les comportements des utilisateurs pour détecter des accès ou des volumes inhabituels. Dans les services qui manipulent des données sensibles, l’utilisation de ce type de systèmes est préconisée.
RGPD : assurez votre mise en conformité !
Comme la démarche peut s’avérer complexe, Mégane DIDIER & l’équipe d’experts en mise en conformité RGPD se tiennent à votre disposition pour échanger sur la mise en place de ce règlement au sein de votre structure et ainsi sécuriser le traitement de vos données.