Yzico

Règlement général sur la protection des données

Janvier-février 2022

Un article de
Mégane DIDIER
Juriste RGPD et droit social

Parole d’experts

RGPD

Le 13 janvier 2022

Evolutions, dossiers, sanctions, toutes les actualités liées au RGPD de janvier à février 2022.

RGPD

DOSSIERS

Sécurité : Pourquoi vous devrez vraiment effacer vos traces d’internet, et comment faire !

Sur internet, notre activité est « trackée », suivie, afin de nous adresser des publicités ciblées, mais pas que … Il s’agit d’un véritable système de suivi et de constitution de profils numériques utilisés, majoritairement à des fins commerciales, par des commerçants, des banques, des assureurs, mais qui peuvent aussi devenir beaucoup plus dangereux entre les mains de pirates.

Quand vous arrivez sur un site, avant d’accepter « tous les cookies » prenez deux minutes pour les regarder en détail, vous visualiserez la liste des « tiers » avec qui vos données sont partagées et vous constaterez que ce sont parfois des « courtiers en données » qui les achètent et les revendent.

Ces données sont compilées, analysées et servent à simuler votre parcours internet, une sorte de « replay » de votre activité. Votre comportement est analysé pour créer des « profils ». Dans le cas d’entreprises « sérieuses » ces données étant anonymes, le risque pour la vie privée est faible, mais techniquement il est assez facile de rattacher un parcours particulier à une personne physique.

Risque de discrimination à l’assurance, à l’emploi, au crédit …

Avant d’accepter les cookies, de créer des profils sur les réseaux, d’utiliser des applications, de télécharger des images, musiques, logiciels plus ou moins gratuits, de souscrire à des offres d’essai ….Pensez-y !

Le RGPD vous ouvre le droit à l’effacement, n’hésitez pas à l’utiliser.

Retrouvez un article sur le sujet ici

Retour sur 2021 les plus grandes fuites de données de l’année

Un petit récapitulatif non exhaustif de Exchange en janvier à Log4j en décembre en passant par Squid Game, le gouvernement argentin, APHP paris, Kaseya, Volkswagen, Facebook …

Le détail dans cet article : ICI

Attention aux mesures prise en urgence…

Le Parlement européen a été sanctionné pour avoir permis le transfert de données hors de l’UE.

En fait le parlement a développé en urgence en 2020 un site web de réservation de test COVID pour les collaborateurs et les élus. Les paramètres par défaut Google analytics et d’autres modules ont permis le transfert de données personnelles hors de l’UE, notamment à Google.

La notion de privacy by design n’est pas respectée.

Lire l’article ICI

Quel avenir pour Google Analytics ?

Google analytics nous assure respecter complètement le RGPD, nombre de sites web utilisent leurs services, mais l’autorité autrichienne de la protection des données (DPA) vient de sanctionner une entreprise allemande. Le régulateur estime que l’utilisation de Google Analytics permet le transfert des données vers les États-Unis, ce qui constitue une violation du droit européen.

6 entreprises françaises sont aussi concernées par cette plainte et pourraient à terme être condamnées.

Lire l’article ICI

Sécurité : utilisez l’authentification multi facteur pour vos comptes en ligne

Deux protections valent mieux qu’une ! De plus en plus de services internet proposent d’utiliser une authentification « multi facteur » de quoi s’agit-il ?

Tout simplement de mettre en place un système qui permet de vérifier l’identité de l’utilisateur de deux façons, avec des technologies différentes. Cela permet renforcer le contrôle et d’éviter les mauvaises surprises.

Faire reposer l’intégralité de sa connexion bancaire par exemple sur un mot de passe, qui a peut-être déjà été « volé » chez un autre prestataire, présente un risque certain. Aussi y ajouter un contrôle en temps réel par SMS permet de s’assurer que la personne qui essaye de se connecter est en possession du téléphone portable de l’abonné au service. C’est déjà un plus.
Ce n’est pas une assurance absolue, rien n’est sécurisé à 100% ! En effet, via des attaques complexes de phishing permettant d’installer des malwares sur les téléphones et mettre en place du « sim swapping » des pirates peuvent contourner la double authentification par SMS. Mais cela reste complexe et coûteux donc peu réaliste pour des comptes de particuliers.

Petite mise en garde ?? Si vous êtes hors couverture ou si vous perdez le téléphone la connexion au service est impossible…

Pour en savoir plus, la CNIL propose un dossier ICI

ACTUALITES

33 Millions d’euros dans une arnaque au président

Un promoteur immobilier parisien a été victime d’une arnaque au président basée sur des e-mails contrefaits. Les escrocs sont parvenus à extorquer 33 millions d’euros à la société victime.

L’arnaque au président est peut-être l’hameçonnage le plus facile, pas besoin de connaissance technique de pointe, d’être un pirate informatique chevronné. Juste passer quelques heures sur internet à récupérer des informations sur une société, ses dirigeants et leurs relations(les employés, amis, famille, habitudes)…

Fort de toutes ces informations il faut choisir le bon moment, la bonne personne et être convainquant, dans le stress ou l’inquiétude beaucoup se laissent berner.

Le détail de cette petite histoire : ICI

Les petites sanctions du moment :

La CNIL frappe au portefeuille :

  • Google : 150 000 000 €
  • Facebook : 60 000 000 €

Pour la gestion de l’acceptation et du refus de leurs cookies. La CNIL a constaté que les sites facebook.com, google.fr et youtube.com ne permettent pas de refuser les cookies aussi simplement que de les accepter. Avec obligation de correction sous trois mois.

Plus de détails : ICI

  • Free mobile : 300 000 €

Sanction plus modeste pour FREE, pourtant les charges sont importantes : Non respect des délais sur les demandes d’accès aux données, non-respect du droit d’opposition, envoi de facture à des abonnements résiliés, envoi des mots de passe en clair dans des mails sans obligation de les changer.

Tout le détail : ICI

  • SLIMPAY : 180 000 €

Le 28 décembre 2021, la formation restreinte de la CNIL a sanctionné la société SLIMPAY pour avoir insuffisamment protégé les données personnelles des utilisateurs et ne pas les avoir informés d’une violation de données. Le cas est intéressant, pensez-y si vous conservez des données dont vous n’avez plus l’usage…

La société SLIMPAY est un établissement de paiement agréé qui propose notamment des solutions de paiements récurrents à ses clients. Courant 2015, elle a effectué un projet de recherche interne, lors duquel elle a utilisé les données personnelles contenues dans ses bases de données. Lorsque le projet de recherche s’est terminé en juillet 2016, les données sont restées stockées sur un serveur, qui ne faisait pas l’objet d’une procédure de sécurité particulière et qui était librement accessible depuis Internet.

Ce n’est qu’en février 2020 que la société SLIMPAY s’est aperçue de la violation de données, qui a concerné environ 12 millions de personnes. A la suite d’un contrôle de la CNIL en 2020, plusieurs manquements concernant le traitement de données personnelles des clients ont été constatés.

La formation restreinte a relevé que l’accès au serveur en question ne faisait l’objet d’aucune mesure de sécurité : il était possible d’y accéder à partir d’Internet entre novembre 2015 et février 2020. Les données d’état civil (civilité, nom, prénom), les adresses postales et électroniques, les numéros de téléphone et des informations bancaires (BIC/IBAN) de plus de 12 millions de personnes ont ainsi été compromis.

Tout le détail : ICI

  • RATP : 400 000 €

Le transporteur francilien vient en effet de se voir infliger une amende de 400 000 euros pour ses pratiques illégales en termes de collecte et de conservation de données personnelles de ses agents.

Le syndicat CGT avait porté plainte suite à la découverte de mentions faisant état du nombre de jours de grève exercés par certains des 65 000 agents de la régie des transports franciliens dans des fichiers utilisés lors des procédures d’avancement de carrière.

Plus de détails ICI

Responsable RGPD : Testez le niveau de conformité de votre site web !

La société QWERI qui exerce une activité de conseil en matière de collecte, d’analyse et de structuration des données aux entreprises, propose un questionnaire simple de conformité RGPD.

Attention il ne s’agit pas d’une quelconque forme de certification, simplement d’un questionnaire qui reprend les différents points de la norme.

Le chapitre 1 propose des questions assez « générales » sur les obligations de la norme. Le chapitre 2 est plus intéressant car il permet de se situer son niveau de conformité en fonction des questionnaires présents sur le site. Le chapitre 3 se concentre sur les cookies.

A la fin du questionnaire vous obtenez une note.

A tester ici : https://rgpd.qweri.fr/

Reconnaissance faciale : feu vert pour les JO de 2024 ?

Dans son rapport parlementaire « Pour un usage responsable et acceptable par la société des technologies de sécurité », le député J.-M. Mis estime que les nouvelles technologies peuvent contribuer de façon importante à renforcer la sécurité du pays, notamment lors de l’organisation de grands évènements. Il recommande ainsi le déploiement de dispositifs de reconnaissance faciale aux JO 2024.

À lire ici

Instagram proche de la sanction ?

Dans son rapport parlementaire « Pour un usage responsable et acceptable par la société des technologies de sécurité », La Commission de protection des données irlandaise (DPC) reproche à Instagram la façon dont il traite les données personnelles des mineurs depuis 2020, mais elle vient de solliciter les autres entités nationales pour sanctionner le réseau social (comme déjà fait pour twitter (450 000 euros) et WhatsApp (225 millions d’euros) ). Rendez-vous mi 2022 pour la sanction…

RGPD : assurez votre mise en conformité !

Comme la démarche peut s’avérer complexe, Mégane Didier & l’équipe d’experts en mise en conformité RGPD se tiennent à votre disposition pour échanger sur la mise en place de ce règlement au sein de votre structure et ainsi bien commencer l’année 2022.

Ces articles
pourraient vous plaire

Pour toujours mieux vous accompagner

Découvrez également Notre rubrique liée à l’actualité #Covid-19

Découvrir

Notre entreprise composée d’équipes lorraines, alsaciennes, parisiennes et champardennaises, ancrées depuis des décennies dans le Grand Est, leur assure une connaissance parfaite du territoire, pour comprendre le marché dans lequel évolue nos clients-entrepreneurs. Anticiper, conseiller, et accompagner le dirigeant dans un monde en perpétuel mouvement constitue l’ADN de notre entreprise.

Trouver mon agence Appeler