Cloud computing : les 7 étapes clés pour garantir la confidentialité des données Des recommandations pratiques permettant de définir le partage des responsabilités Avant tout engagement commercial, l'organisme souhaitant recourir à une prestation d'externalisation devra mener une réflexion spécifique afin : D'identifier clairement les données et les traitements qui passeront dans le cloud ;De définir ses propres exigences de sécurité technique et juridique ;De conduire une analyse de risques afin d'identifier les mesures de sécurité essentielles pour l'entreprise ;D'identifier le type de cloud pertinent pour le traitement envisagé ;De choisir un prestataire présentant des garanties suffisantes ;De revoir la politique de sécurité interne ;De surveiller les évolutions dans le temps. Ces 7 étapes préalables permettent : De déterminer la qualification juridique du prestataire : s'agit-il d'un simple sous-traitant au sens de l'article 35 de la loi Informatique et libertés ou bien d'un responsable conjoint de traitement au sens de l'article 2 de la Directive 95/46/CE ? 1. 2.
Principes de la protection des données personnelles Les informations que l’oganisme et les laboratoires traitent informatiquement pour remplir leurs missions de service public doivent être protégées parce qu’elles relèvent de la vie privée et parce que leur divulgation est susceptible de porter atteinte aux droits et libertés des personnes concernées. La loi "Informatique et Libertés" a défini les principes à respecter lors de la collecte, du traitement et de la conservation de ces données. La loi prévoit également un certain nombre de droits pour les personnes dont les données personnelles ont été recueillies. Le respect des règles de protection des données à caractère personnel est un facteur de transparence et de confiance à l’égard des personnes (personnels, personnes concernées par les traitements de recherche ...). > Voir l’article "Les 7 principes clés de la protection des données personnelles"
Les cookies Un cookie est une information déposée sur votre disque dur par le serveur du site que vous visitez. Il contient plusieurs données : le nom du serveur qui l'a déposée ; un identifiant sous forme de numéro unique ; éventuellement une date d'expiration… Ces informations sont parfois stockées sur votre ordinateur dans un simple fichier texte auquel un serveur accède pour lire et enregistrer des informations. Les cookies ont différentes fonctions. Certains cookies peuvent aussi être utilisés pour stocker le contenu d'un panier d'achat, d'autres pour enregistrer les paramètres de langue d'un site, d'autres encore pour faire de la publicité ciblée. Un site internet peut uniquement relire et écrire les cookies qui lui appartiennent. Mais, il faut être conscient qu'une page sur internet contient souvent des informations issues de différents sites, notamment via les bandeaux publicitaires.
Protection des données personnelles au travail : les bonnes pratiques La protection des données à caractère personnel est devenue un sujet majeur dans les relations sociales sur les lieux de travail. Des outils comme la vidéosurveillance ou la géolocalisation sont largement mis en place. En effet, dans le cadre du recrutement ou de la gestion des carrières, les employeurs utilisent de plus en plus d'applications informatiques. Ces dispositifs enregistrent quantité de données personnelles sur les salariés et peuvent parfois porter atteinte à leurs droits ou à leur vie privée. A l'heure du développement de l'utilisation des smartphones, du télétravail et du bring your own device, il est nécessaire de maintenir de maintenir un équilibre entre le contrôle de l'activité des salariés et la protection de la vie privée. En 2012, plus de 10 % des plaintes reçues par la CNIL concernaient le monde du travail. 17 d'entre elles ont donné lieu à des mises en demeure. Le recrutement et la gestion du personnel La géolocalisation des véhicules des salariés
Norme simplifiée n° 48 : Délibération n° 2012-209 du 21 juin 2012 portant création d’une norme simplifiée concernant... 21 Juin 2012 - Thème(s) : Fichiers de clients et de prospects JORF n°0162 du 13 juillet 2012 page texte n° 72 La Commission nationale de l’informatique et des libertés. Formule les observations suivantes : En vertu de l’article 24 de la loi du 6 janvier 1978 modifiée, la Commission nationale de l’informatique et des libertés est habilitée à établir des normes destinées à simplifier l’obligation de déclaration des traitements les plus courants et dont la mise en œuvre n’est pas susceptible de porter atteinte à la vie privée ou aux libertés. Les traitements informatisés relatifs à la gestion de clients et de prospects sont de ceux qui peuvent, sous certaines conditions, relever de cette définition. La norme simplifiée n° 48 en vigueur a été adoptée le 7 juin 2005. Décide : Article 1 Peut bénéficier de la procédure de la déclaration simplifiée de conformité à la présente norme tout traitement automatisé relatif à la gestion de clients et de prospects qui répond aux conditions suivantes.
L’intrusion dans un système informatique et ses conséquences juridiques. Il existe différents types de pirates informatiques : du hacker classique, qui s’introduit dans les systèmes par des moyens illégaux sans détruire les données ni utiliser les informations données, mais dans le seul but de faire savoir qu’il existe des failles de sécurité au cracher (casseur), appellation qui désigne le pirate le plus dangereux qui détruit dans un but précis ou pour le plaisir. Or, aux yeux de la loi, chacun d’entre eux peut être poursuivi au regard des dispositions du Code pénal en matière de fraude informatique. L’intrusion peut s’effectuer par le biais d’un programme qui se cache lui-même dans un programme « net » (par exemple reçu dans la boite aux lettres ou téléchargé). L’un des plus connus est le Back Office qui permet d’administrer l’ordinateur à distance. En outre, le piratage peut avoir comme cible les mots de passe du système. I. a) La responsabilité pénale i. Accès frauduleux Quid, pourtant, si le système n’est pas protégé ? Le maintien frauduleux ii. iii. b.
Toute l'Actualité Sécurité des Données personnelles du Monde Informatique et Actualités Sécurité Informatique Top actualité Données personnelles Les profils Linkedin siphonnés par une armée de robots Le réseau social professionnel a attaqué en justice une société qui utilise des robots pour collecter les profils des utilisateurs de Linkedin et ensu... Barack Obama veut limiter la collecte massive d'écoutes de la NSA Selon la presse américaine, l'administration du Président Barack Obama va proposer une loi qui mettra un terme à la collecte massive de données téléph...
Le contrôle de l'utilisation d’internet et de la messagerie L’employeur peut fixer les conditions et limites de l’utilisation d’internet. Ces limites ne constituent pas, en soi, une atteinte à la vie privée des salariés. Par exemple : L’employeur peut mettre en place des dispositifs de filtrage de sites non autorisés (sites à caractère pornographique, pédophile, d’incitation à la haine raciale, révisionnistes, etc.). Il peut également fixer des limites dictées par l’exigence de sécurité de l’organisme, telles que l’interdiction de télécharger des logiciels, l’interdiction de se connecter à un forum ou d’utiliser le « chat », l’interdiction d’accéder à une boîte aux lettres personnelle par internet compte tenu des risques de virus qu’un tel accès est susceptible de présenter, etc. Nécessité d’informer les salariés Les salariés doivent être informés des dispositifs mis en place et des modalités de contrôle de l’utilisation d’internet : Le comité d’entreprise doit avoir été consulté et informé (article L2323-32 du code du travail); Comment déclarer ?
Les patrons peuvent lire les mails privés Il y a deux semaines, Gérard Lommel, président de la Commission nationale de protection des données, était l’invité de la Conférence du jeune barreau luxembourgeois pour parler de la législation luxembourgeoise réputée très protectrice de la vie privée au travail et rappeler la ligne jaune à ne pas dépasser par les employeurs en matière de cybersurveillance sur le lieu de travail. Jeudi, un grain de sable est venu enrayer la belle mécanique des droits à la protection de la correspondance électronique privée des salariés au Luxembourg. Un jugement vient en effet d’ouvrir une brèche dans le droit à l’immixtion d’un patron à ouvrir les courriels de ses salariés, quand bien même ces mails sont assortis de la mention «privé et confidentiel». 14.000 euros de préjudice moral invoqué Selon les indications de la CNPD, en cas de départ définitif du salarié, l’employeur doit s’engager à bloquer tous les comptes informatiques et à effacer sa ou ses boîtes aux lettres «dès son départ».
Violation des données personnelles: un nouvel enjeu pour l'e-commerce - JURIDIQUE - SECURITE L'obligation de sécurité des traitements de données personnelles n'est pas nouvelle en droit français. Instaurée par la loi informatique et libertés du 6 janvier 1978, elle impose aux sites d'e-commerce, qui traitent les données de leurs clients (identifiants, adresses de courrier électronique, coordonnées bancaires, etc.), de prendre toutes les précautions utiles pour empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. Compte tenu des enjeux, la violation de cette obligation est punie de cinq ans d'emprisonnement et 300 000 euros d'amende. Son respect est d'ailleurs de plus en plus régulièrement contrôlé par la Cnil. En France, dans le cadre de la transposition du «paquet télécom», un projet d'ordonnance prévoit de créer une telle procédure, étant précisé que le délai dont dispose le Gouvernement français pour adopter cette ordonnance expire le 21 septembre 2011. - une politique de sensibilisation du personnel;
L'obligation de l'employeur d'assurer la sécurité des données Bien souvent, les entreprises associent – et à tort limitent – leurs obligations résultant de la Loi du janvier 1978 à des obligations déclaratives. Le fait est que la protection des données à caractère personnel, notamment dans le cadre des entreprises, ne se résume pas à une succession de déclarations de traitements de données. Il appartient également – et de manière tout aussi importante – au responsable d’un traitement de données à caractère personnel de prendre les mesures nécessaires pour sécuriser ses données. L’article 34 de la Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, dans sa rédaction actuelle, dispose en effet : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. »
Sécurité des données personnelles CIL CONSULTING Sécurité et protection des données personnelles: une solution gagnant-gagnant Toute organisation doit veiller à la sécurité de son patrimoine informationnel et se protéger des menaces externes et internes; Mais toute organisation doit aussi respecter les règles de protection des données personnelles et de la vie privée et les droits et libertés fondamentaux. Qui est concerné ? Sécurité des données au coeur de la sécurité du SI Les responsables de traitements (maîtrises d’ouvrage),Les personnes en charge de la protection des données au sein de l’organisation (CIL, RSSI…);Les prestataires en tant que sous-traitants au sens de la loi; > Vous êtes responsable de traitement Art.34: « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».