Pixels invisibles – Bouygues Telecom poursuivi devant la CNIL

En août dernier, l’association eWatchers a porté plainte contre Bouygues Telecom en raison de l’utilisation de pixels invisibles. Cette technologie est courante et bien utile mais l’utiliser n’est pas sans risque. Elle soulève des enjeux pour votre conformité RGPD, votre image de marque et la confiance de vos clients… Cette plainte est en tout cas l’occasion pour la CNIL de préciser les règles à respecter en la matière. On vous en parle sur ce blog.

Qu’est-ce qu’un pixel invisible et pourquoi Bouygues Telecom en utilise ?

Les pixels invisibles sont une technologie de tracking au même titre que le sont les cookies ou le device fingerprinting.

Il s’agit d’images de 1 pixel que l’on insère dans le code source d’un site web ou d’un e-mail. Ces technologies sont généralement fournies par des sociétés tierces. Lorsque l’image est chargée par le navigateur de l’internaute ou le logiciel de messagerie, une requête est envoyée au serveur de la société fournisseur.

Cet acteur joue alors le rôle d’un sous-traitant, il manipule des données pour votre compte :

  • Date et heure de chargement de l’image ;
  • Adresse IP ;
  • données techniques identifiant le terminal de l’utilisateur.

S’il s’agit de données techniques, elles permettent d’identifier individuellement les internautes.

En l’occurrence, il est reproché à la société Bouygues Telecom d’avoir inséré des pixels dans ses e-mails. C’est une pratique courante. Pour quel usage ?

  • Suivre les comportements de l’audience, notamment les taux d’ouverture d’e-mail et de clics et ainsi évaluer la performance des campagnes ;
  • Adresser des messages de sollicitation commerciale personnalisées.

Bouygues Telecom devant la CNIL en raison des pixels invisibles

Le 11 août dernier, l’association eWatchers a annoncé avoir porté plainte auprès de la CNIL contre cette société.

Après investigations, cette association considère en effet que les e-mails de Bouygues Telecom contiennent :

  • un pixel déposé par Google Analytics ;
  • un pixel déposé par la société de marketing Weborama.

Qu’est-ce qui est reproché ?

  • Le recours à certains traceurs sans recueil préalable d’un consentement de l’utilisateur. Il faut dire que les lignes directrices de la CNIL l’imposent en cas d’utilisation de traceurs à des fins publicitaires.
  • Une absence d’information des utilisateurs quant à l’utilisation de tels « pixels espions » ;
  • une collecte de données non minimisée. En particulier, la marque n’a pas activé l’option d’anonymisation des adresses IP collectées par la solution Google Analytics ;
  • l’impossibilité de s’opposer effectivement au dépôt de ces pixels.

Quand les pixels invisibles menacent votre e-réputation

L’utilisation de pixels espions est en réalité un détournement de la fonction d’affichage d’images dans les e-mails. Cette pratique a également une mauvaise réputation parce ces pixels sont plus opaques que les cookies.

Cette pratique expose par conséquent votre image de marque et voici pourquoi.

Le RGPD est une réponse apportée au sentiment d’opacité et de perte de maîtrise des données par les utilisateurs finaux. Savoir avec qui les données collectées par une marque sont partagées, dans quel but elles sont utilisées, cristallise de réelles tensons.

Et ces tensions connaissent un vrai retentissement médiatique. Régulièrement, des scandales éclatent dans la presse qui mettent en avant :

  • le partage de données non anonymisées avec des partenaires publicitaires, les GAFAM par exemple;
  • l’utilisation de cookies marketing…

Les sociétés concernées se trouvent ainsi réellement exposées.

  • La découverte de pratiques de ce type peut générer de vrais incompréhensions des clients, voire un malaise. Quitte à entraîner une multiplication des demandes d’exercices de droits RGPD. Et de nos jours, les plaintes arrivent par courrier, par e-mail mais aussi via les réseaux sociaux.
  • Les associations de protection de la vie privée n’hésitent pas à porter plainte auprès de la CNIL, sommant ces entreprises de s’expliquer sur leurs pratiques.
  • Le retentissement médiatique des scandales en accroît grandement la visibilité, au risque que la CNIL ne décide d’examiner ce qui se passe.

La conformité RGPD impacte votre activité marketing

Trois ans après son entrée en vigueur, le RGPD reste un sujet majeur. L’exemple de Bouygues Telecom est intéressant. La plainte montre que si les règles ne sont pas respectées dès le départ, c’est la chaîne de collecte de données qui est menacée.

L’association eWatchers demande en effet à cette société :

  • de retirer les pixels insérés dans les e-mails marketing. Ceci implique un changement de méthode d’évaluation de la performance des campagnes marketing. Une autre option, pour préserver le recours à ces pixels, consisterait aussi à soumettre leur utilisation à un consentement préalable.
  • D’informer les utilisateurs des traitements de données effectués.
  • De supprimer les données collectées alors qu’un consentement préalable était nécessaire. Si la méthode de collecte ne respecte pas les obligations légales, la base ainsi constituée devrait en effet être supprimée.
  • De mettre en place une mécanique permettant aux abonnés de se désabonner efficacement des mailing ;
  • De dédommager les abonnés concernés.

Un traitement de données personnelles mal encadré peut nécessiter une mise en conformité en cours de route. Au risque de perturber le planning de vos opérations promotionnelles ou publicitaires et d’alourdir sensiblement votre budget.

Conclusion : Bouygues Telecom, affaire des pixels invisibles à suivre

La plainte déposée par l’association eWatchers devra être examinée par la CNIL.

Elle pourra éventuellement déboucher sur des sanctions publiques telles qu’une mise en demeure ou une amende. Cette affaire sera surtout une bonne occasion pour le régulateur de préciser les règles applicables en la matière.

Les pixels invisibles sont une technologie couramment utilisée. Leur utilité est réelle pour réaliser des opérations courantes. Mais ils peuvent aussi avoir une fonction publicitaire, ce qui touche un domaine plus sensible.

Ne vous y aventurez pas à la légère, les impacts sont réels :

  • des enjeux importants de conformité RGPD afin de sécuriser vos activités marketing et analytics ;
  • un risque pour l’image de marque. Le marketing en ligne fait l’objet d’une vigilance de la part d’acteurs spécialisés (journaux informatiques, associations de protection des droits). Au risque d’entraîner un scandale médiatique repris par la presse généraliste.
  • Une dégradation de la confiance donnée par vos clients. Ces insatisfactions peuvent impacter votre chiffre d’affaires et entraîner une multiplication des réclamations.
  • Une visibilité accrue auprès de la CNIL.

 

Article rédigé par Maxime Jaillet

Mesures sanitaires – Quelle collecte de données par les restaurants ?

La réouverture des restaurants s’accompagne de mesures sanitaires impliquant de manipuler des données personnelles. Il faudra notamment tenir un cahier de rappel et pour cela respecter toutes les composantes de la conformité RGPD. Bien sûr, pas question de détourner ces fichiers de leur but initial. N’espérez pas alimenter vos bases marketing de cette manière. On vous en parle sur ce blog.

Pourquoi et comment les restaurants collectent des données personnelles ?

La réouverture des restaurants va de pair avec l’adoption d’un protocole sanitaire strict. Ce protocole comprend diverses mesures dont l’enregistrement des visites des clients.

Pourquoi ? L’objectif est de pouvoir retracer la composition d’une salle en cas de détection d’un cas de Covid. En pareille situation, les clients enregistrés seront informés, incités à se faire tester et à s’isoler.

De quelle manière les restaurants enregistreront-ils leurs clients ? Deux méthodes sont possibles :

  • Grâce à un cahier de rappel papier géré par le restaurateur. En pratique, les clients renseignent leurs coordonnées dans ce cahier qui sera tenu à disposition des autorités sanitaires.
  • grâce à l’application Tousanticovid, via un QR Code et l’utilisation de la fonctionnalité Signal. La personne testée positive se signale dans l’application. Les personnes susceptibles d’avoir été en contact avec une personne infectée reçoivent alors une notification. La CNIL a naturellement rendu un avis sur les évolutions de cette application.

Minimisation, information… Comment les restaurants protègent-ils les données personnelles ?

La CNIL a régulièrement accompagné l’application de protocoles sanitaires par les professionnels. Le régulateur s’assure en particulier du bon encadrement des traitements de données personnelles susceptibles d’en découler.

Il faut dire qu’en tant que restaurateur, vous assumez la responsabilité de ces traitements de données personnelles, quand bien même ils découlent d’une obligation légale. A ce titre, vous devrez veiller à la conformité RGPD de vos pratiques et bien encadrer le recours éventuel à des cahiers de rappel papier.

La CNIL a donc publié des recommandations détaillant les mesures que les restaurateurs doivent respecter :

  • Limiter la collecte de données au strict nécessaire. Identité, date et heure d’arrivée du client dans le restaurant, un moyen de contact sont les seules données que le professionnel pourra collecter.
  • Pas de contrôle d’identité du client par le professionnel. Le restaurateur n’a pas à demander de justificatif.
  • Les personnes doivent être informées du traitement des données ainsi opérées. En pratique, cela se fera par une mention au bas du formulaire et par un panneau d’information à disposition dans le restaurant.
  • Les cahiers de rappel contiennent sans surprise des données personnelles qui ne devront pas être conservées indéfiniment. Selon la CNIL, les cahiers de rappel devront être détruits au bout de 15 jours.
  • Les données d’un client ne doivent pas être disponibles des autres clients. Hors de question de pouvoir jeter un œil sur toute une page pendant que l’on s’inscrit soi-même sur le document. Par conséquent : soit un formulaire distinct est fourni à chaque tablée, soit un membre du personnel devra alimenter le cahier lui-même.
  • La sécurité des données est fondamentale. Cela concerne vos applications informatiques, votre site web, votre application mobile mais aussi vos dossiers papiers. Les cahiers de rappel devront être stockés dans un espace sécurisé avec un accès restreint. Laisser un cahier toute la journée à un bureau d’accueil non surveillé ne serait pas quelque chose d’acceptable.
  • L’accès aux cahiers de rappel ne doit pas être ouvert à tout le personnel du restaurant mais uniquement à des personnes spécialement habilitées à cet effet.

Mesures sanitaires – un objectif de protection, pas de sollicitation

Certes, on a l’habitude de dire que le RGPD est en pratique moins contraignant pour les TPE PME à l’égard desquelles on attend moins. Mais les cahiers de rappel présentent un certain niveau de sensibilité qui justifiera une vigilance particulièrement importante de la part de votre restaurant.

Les cahiers de rappel n’auront pour seul but que d’être transmis aux autorités sanitaires sur demande. Les traitements de données personnelles mis en œuvre poursuivent donc exclusivement des objectifs de santé publique.

Et pourtant, comment oublier que le contexte des confinements a eu des conséquences catastrophiques pour bien des restaurateurs ? La tentation est par conséquent forte de détourner cette mesure sanitaire :

  • en présentant comme un cahier de rappel ce qui serait en réalité une liste de prospection ;
  • en récupérant les coordonnées inscrites dans le cahier de rappel pour les injecter dans votre outil de marketing automation ;
  • en revendant le contenu des cahiers à vos partenaires commerciaux ou à vos autres établissements ;
  • ..

Naturellement, rien de tout cela n’est possible. Ce serait un détournement de la finalité initiale du traitement et un manquement à vos obligations de conformité RGPD.

Un restaurant se livrant à ce type de pratique sous-estimerait certainement le risque réel de voir les réclamations et les plaintes se multiplier.

L’efficacité des cahiers de rappel papier dépend par ailleurs de la bonne collaboration des clients. Encore faut-il qu’ils aient suffisamment confiance pour confier au restaurateur leurs vraies coordonnées. Une confiance qui se perdra facilement si l’on a le sentiment que les données pourraient en réalité servir à des objectifs marketing.

Conclusion : Restaurants, êtes-vous prêt à gérer un cahier de rappel ?

La réouverture des restaurants a été rendue possible en impliquant cette profession dans la lutte contre l’épidémie. Les restaurateurs jouent naturellement le jeu en respectant un protocole strict.

Si l’objectif de protection de la santé publique est parfaitement louable, pas question pour autant de faire n’importe quoi avec les données. Les restaurateurs assument la responsabilité du traitement des données et doivent ainsi veiller à leur conformité RGPD.

Au final, le cahier de rappel papier ne doit pas être vécu sous l’angle d’une opportunité marketing. Ou pour le dire autrement, il ne servira pas à alimenter des bases de sollicitation.

Détourner ce cahier et vous en servir pour prospecter vos clients pourrait au final vous coûter cher, qu’il s’agisse de votre réputation comme de l’état de votre conformité. Au contraire, jouer le jeu sera un bon moyen de montrer votre professionnalisme et le soin que vous apportez à la protection des données de vos clients.

 

Article rédigé par Maxime Jaillet

Quel bilan retenir après 3 ans de RGPD ?

3 ans après, quel est le bilan du RGPD ? Les rapports annuels de la CNIL le montrent : plus de DPO, plus de plaintes, des sanctions peu nombreuses mais importante. La CNIL se révèle dans un rôle d’accompagnement et d’analyse prospective, reléguant la sanction au dernier recours de sa panoplie d’outils sans pour autant la négliger. Enfin, la cybersécurité demeure un enjeu clé. On vous en parle sur ce blog.

Plus de DPO, une gouvernance des données améliorées

Cette année encore, selon le rapport annuel de la CNIL pour l’année 2020, le nombre d’organismes s’étant dotés d’un délégué à la protection des données a augmenté pour atteindre les 73 331.

25 494 Data Protection Officers ont ainsi été désignés, la plus grande part étant mutualisés.

Derrière la désignation d’un DPO, une prise de conscience croissante de la nécessité de protéger les données personnelles. A tous les niveaux puisque le rôle de ce personnage-clé est aussi de contribuer à faire émerger une culture informatique et libertés dans son organisme.

Les confinements se sont en outre sans doute révélés propices pour accélérer sur la mise en conformité RGPD de ses activités.

Malgré tout, le chemin à parcourir demeure encore bien long, comme en témoigne par exemple la mise en demeure par la CNIL d’une vingtaine d’organismes n’ayant pas encore respecté les lignes directrices entrées en vigueur au mois de mars.

Un nombre de plaintes stable mais élevé

Après deux ans d’augmentation, les choses tendent à se stabiliser. En 2020, la CNIL a tout de même reçu 13 585 plaintes, soit une augmentation de 62,5 % par rapport à l’entrée en vigueur du RGPD.

Quelles sont les situations poussant les individus à exercer leurs droits concernant leurs données personnelles ? D’après le laboratoire Linc, qui a analysé les e-mails et plaintes reçues par la CNIL entre mai 2016 et mai 2019, il y en a 4 :

  • Quand leur réputation est menacée par des informations disponibles en ligne,
  • Lorsqu’ils sont victimes d’intrusion dans leur sphère privée par de la prospection commerciale (la prospection commerciale représente 11 % des plaintes reçues en 2020) ;
  • En cas de surveillance sur leur lieu de travail ;
  • et enfin en cas d’inscription dans des fichiers nationaux (accidents bancaires, antécédents judiciaires.

Une politique favorisant l’accompagnement à la répression

La CNIL s’est rapidement positionnée dans un rôle d’accompagnement des organismes souhaitant mettre en conformité cette activité. Ce rôle s’est concrétisé par la production de nombreux livrables :

  • Référentiels sectoriels (ressources humaines, relation clients…) ;
  • recommandations sur des points spécifiques (cloud computing, gestion des cookies, …) ;
  • Guides de bonnes pratiques (sur les sous-traitants ou la sécurité informatique).

En parallèle, l’activité répressive est plutôt vue comme une solution de dernier recours. En 2020, la CNIL n’a ainsi prononcé « que » 14 sanctions pour 247 contrôles. 11 amendes ont été prononcées pour un montant total de plus de 138 millions d’euros. Un chiffre impressionnant et parmi les plus élevés en Europe.

Quels enseignements tirer de cette politique répressive ?

  • Une prise en compte de plus en plus significative des plaintes. En 2020, 40 % des contrôles découlent de plaintes ou de réclamations. A noter que dans certains cas, une plainte unique peut donner lieu à un contrôle.
  • Désormais, le travail mené par l’association Signal Spam peut aussi influer la politique de la CNIL. Une société de prospection commerciale en a ainsi fait les frais.
  • Les contrôles de la CNIL découlent également d’une veille sur l’actualité technologique ou d’un programme de thématiques prioritaires annuel.
  • La coopération européenne est également une source de contrôles. En 2020, la CNIL a été concernée dans 400 cas et a été autorité chef de file dans une centaine de cas.

La cybersécurité, un enjeu toujours plus important

Le nombre de notifications des violations de données personnelles auprès de la CNIL est en augmentation constante. On en recense 2825 en 2020.

Cette croissance montre que les organismes s’approprient de plus en plus cette obligation légale désormais généralisée à tous les secteurs d’activité. Le respect d’une telle obligation suppose forcément d’instaurer des processus internes de détection des incidents de sécurité affectant des données personnelles.

Ces processus entraînent en interne une mise en lumière sans pareil des vulnérabilités d’un organisme et donc de son niveau de sécurité. S’il en est encore besoin, cela montre à quel point la sécurité informatique est devenu un enjeu critique ces dernières années.

Une sensibilité encore accrue :

  • par les efforts des entreprises de se digitaliser… et de complexifier leurs parcs informatiques en se dotant de nouveaux outils indispensables ;
  • par la multiplication des attaques informatiques ces dernières années. En particulier, les attaques par ransomwares.

Une autorité vigilante concernant les évolutions technologiques et sociétales

Comme certains de ses homologues, la CNIL témoigne d’une sensibilité autour de sujets technologiques, fussent-ils prospectifs. Elle s’est ainsi impliquée dans l’organisation d’une réflexion devant servir à anticiper sur les enjeux de demain et à formuler des recommandations adaptées.

  • Le laboratoire Linc s’illustre ainsi régulièrement par ses articles de blog et la production de cahiers d’analyse prospectives.
  • La CNIL s’attellent à la production de livres blancs pour démêler les enjeux associés à une thématique donnée et formuler ses premières recommandations. En 2020, la CNIL a ainsi publié un livre blanc sur les assistants vocaux. Elle s’attellera ensuite aux données de paiement.
  • Le sujet des cookies et autres traceurs a fait l’objet de nombreuses discussions entre le régulateur et les parties prenantes. Entre révision des recommandations et périodes de moratoires, ces échanges ont conduit la CNIL à intervenir toujours plus profondément à ce sujet. Ses lignes directrices ne se content pas de poser les grands principes à respecter. La CNIL s’est faite prescriptrice y compris sur l’UX design des outils devant prendre en charge ce sujet.

Conclusion : 3 ans après, plus de maturité au regard du RGPD

Le bilan annuel de la CNIL témoigne d’une activité intense d’accompagnement des acteurs mais aussi de contrôles et de sanctions.

Tout ceci montre l’importance toujours plus grande de la protection des données personnelles. Un sujet que le grand public s’approprie de plus en plus, au gré également de prises de consciences médiatiques.

Pour les organismes, qu’ils soient responsables de traitement ou sous-traitants, il est donc temps d’implémenter une démarche de mise en conformité RGPD dans l’optique de pérenniser la confiance des clients et de sécuriser les activités

 

Article rédigé par Maxime Jaillet

Vers l’authentification sans mot de passe ?

Le mot de passe est mort, vive l’authentification sans mot de passe. Peut-être pas tout de suite mais pour améliorer votre cybersécurité, il vous faudra trouver des modalités d’authentification alternatives. Et il en existe diverses, avec leurs avantages et leurs inconvénients. Au fur et à mesure que ces technologies gagnent en maturité, il s’agit pour vous de les déployer progressivement dans vos applications. On vous en parle sur ce blog.

L’authentification sans mot de passe, la solution à tous vos problèmes ?

Il existe de nombreuses méthodes pour sécuriser l’accès à une application informatique interne ou à un compte utilisateur en ligne. Le mot de passe reste à ce jour la référence, ce qui est le plus communément utilisé.

Et pourtant, depuis les années 2010 notamment, cette approche ne cesse d’être critiquée :

  • pour son impact négatif sur l’expérience utilisateur. Bien des internautes abandonnent en cours de route la création d’un compte utilisateur, découragés par la complexité de la politique de sécurité appliquée aux mots de passe.
  • Pour les contraintes de gestion et de stockage qu’elle fait peser sur les équipes techniques. Sans parler des efforts nécessaires pour former les équipes en interne et les faire adhérer aux protocoles de sécurité à respecter.

Le gros des critiques se concentre sur la cybersécurité.

  • Un mot de passe est considéré comme sécurisé s’il respecte des caractéristiques que la CNIL a identifié dans une recommandation. Elle en contrôle d’ailleurs régulièrement le respect, notamment sur les sites web. Or, paradoxalement, trop de complexité nuit à la sécurité. Elle amène les utilisateurs à multiplier les comportements dangereux. Laisser un post-it sur son bureau avec une liste de mots de passe, par exemple.
  • Globalement, personne ne comprend l’utilité d’un mot de passe complexe. Pas étonnant qu’une fois de plus, les pires mots de passe (123456, password…) soient aussi les plus utilisés, selon le rapport publié par Nordpass  ;
  • Ces dernières années, de très nombreuses attaques informatiques ont entraîné le vol de mots de passe. D’autant plus profitable que nous sommes nombreux à utiliser le même mot de passe pour sécuriser plusieurs comptes en ligne…

L’heure est donc à rechercher des alternatives valables, tant pour améliorer l’ergonomie et l’expérience utilisateur que la sécurité informatique.

En 2020, un rapport du World Economic Forum, rédigé avec l’Alliance FIDO, pointe à ce sujet l’authentification sans mot de passe comme « la prochaine avancée majeure en matière de transformation numérique ».

Qu’est-ce que l’authentification sans mot de passe ?

On demande à l’utilisateur (un client, un salarié) de s’authentifier pour accéder à son compte utilisateur ou à tel outil informatique interne. Jusqu’ici, concrètement, il devait saisir un identifiant et un mot de passe.

Il existe de nombreuses méthodes alternatives qui vont s’appuyer sur l’utilisation de clés de sécurité ou sur une reconnaissance biométrique du terminal. Par exemple, l’utilisateur peut :

  • renseigner son adresse e-mail ou son SMS, recevoir un lien d’accès via lequel il sera authentifié sans fournir d’informations complémentaires ;
  • recevoir un code à usage unique qu’il saisira sur un champ dédié à cet effet lors de son parcours d’authentification ;
  • utiliser une carte d’accès. Il s’authentifie en insérant cette carte dans un lecteur dédié et moyennant la saisie d’un code Pin ;
  • recourir à un dispositif biométrique. Il sera alors reconnu par son empreinte digitale, celle de son réseau de veines ou la reconnaissance faciale.

Toutes ces méthodes présentent de réels avantages mais aussi des inconvénients non négligeables. Les méthodes d’envoi d’éléments par e-mail ou SMS sont vulnérables face aux attaques de phishing. L’utilisation d’une carte d’accès est complexe et coûteuse, elle est difficile à généraliser.

Comment mettre en place un mécanisme d’authentification sans mot de passe ?

Il serait illusoire de penser que vous allez pouvoir basculer votre entreprise ou votre collectivité territoriale dans une démarche d’authentification sans mot de passe.

  • Parce que les technologies utilisées doivent encore pour certaines d’entre elles faire leurs preuves, tant en matière de sécurité informatique que pour l’amélioration du parcours utilisateur ;
  • Parce que le mot de passe est profondément ancré dans les habitudes de votre entreprise. Déshabituer tout le monde nécessitera un processus long et patient.

Votre objectif cible sera par conséquent plutôt de commencer à mettre en place de manière ponctuelle des méthodes d’authentification sans mot de passe. Et donc de l’imposer pour certaines solutions tierces, fournies par des sous-traitants.

En ce qui concerne l’existant, l’important est de s’assurer du niveau de sécurité des pratiques en place et de les améliorer, dans la mesure du possible :

  • En vous assurant que la politique de mots de passe respecte les exigences de la CNIL ;
  • En installant des solutions de type SSO (Single Sign-On) afin que les collaborateurs de l’entreprise utilisent les mêmes identifiants et mots de passe pour s’authentifier aux diverses applications qu’ils utilisent.
  • En prévoyant lorsque possible une authentification à deux facteurs. La saisie d’un mot de passe s’accompagnera d’une action à partir d’un autre terminal (recevoir un code par SMS et le saisir par exemple).

L’authentification sans mot de passe est une tendance lourde portée par les grandes entreprises américaines. Après le rachat de Duo Security en 2018 pour intégrer l’authentification multi-facteurs à ses outils de sécurité, Cisco a ainsi annoncé intégrer une fonctionnalité d’authentification sans mot de passe dans Duo. Microsoft également a annoncé travailler à abandonner le mot de passe en 2021. Et il y a bien d’autres exemples.

Conclusion : Et si vous vous intéressiez à l’authentification sans mot de passe ?

Si abandonner les mots de passe est vite apparu comme une nécessité, c’est souvent resté un vœu pieux dans les entreprises.

Cela pourrait progressivement changer, notamment grâce à l’émergence de standards ouverts et grâce aux investissements des grands acteurs.

Pour votre entreprise, c’est une manière d’améliorer la sécurité informatique et notamment l’accès aux applications internes, l’authentification des clients et des utilisateurs en ligne. L’abandon du mot de passe a aussi un vrai intérêt pour améliorer les parcours utilisateurs. En interne, cela facilitera le quotidien des salariés utilisant les applications métiers.

Alors ? Etes-vous prêt à vous lancer ?

 

Article rédigé par Maxime Jaillet

Les données de 533 millions de comptes Facebook fuitent sur le Net

C’est une immense fuite qui porte sur les données publiques de 533 millions de comptes Facebook. Près de 20 millions de français sont concernés. A l’origine, une vulnérabilité affectant la fonctionnalité d’imports de contacts que le réseau social propose aux utilisateurs. Désormais, les autorités de régulation ont ouvert des investigations. On vous dit tout dans cet article.

Fuite de données sur Facebook – Que s’est-il passé ?

L’affaire a été révélée par un tweet d’Alon Gal, cofondateur d’une société spécialisée dans la cybercriminalité, et largement médiatisée.

Un internaute a mis en ligne, sur un forum de discussion, une base de données portant sur pas moins de 533 millions de comptes Facebook, dont 20 millions de français. Au total, 106 pays seraient concernés.

Quelles données trouve-t-on dans la base ? Par exemple :

  • Les Nom, prénom et date de naissance ;
  • Le numéro de téléphone, l’adresse e-mail ;
  • Le statut marital ;
  • L’activité professionnelle.

En revanche, il n’y aurait pas d’informations financières, de données de santé ou de mots se passe.

Cette affaire montre à quel point la cybersécurité est désormais un enjeu crucial.

Cette fuite de données est une histoire ancienne. Elle avait en effet déjà été rapportée en 2019 par les médias.

Par la suite, les données ont circulé sur le Dark Net, dans un cadre confidentiel et restreint aux pirates. L’affaire ressurgit parce qu’elles connaissent une diffusion beaucoup plus étendue : la base de données a été intégralement et gratuitement mise en ligne sur des forums de discussion.

Qu’est-ce que le scraping et comment cela a-t-il rendu la fuite possible ?

Selon un post de Facebook, ces données ont été obtenues non pas en hackant le site mais par du scraping. Cette technique bien connue consiste à utiliser un logiciel pour aspirer automatiquement et piller des bases de données publiques. En l’occurrence les données rendues publiques sur des profils Facebook.

C’est l’import de contacts qui serait ici en cause. Tout utilisateur peut importer son carnet d’adresses et rechercher les profils Facebook de ses contacts.

Sauf que des individus malveillants auraient détourné cette fonctionnalité. Ils s’en seraient servis pour identifier des profils Facebook et collecter les données que les utilisateurs eux-mêmes ont rendu publiques, en fonction de leurs paramétrages de confidentialité.

Une vulnérabilité informatique a donc rendu possible ce détournement. Aujourd’hui, le réseau social considère cette affaire comme de l’histoire ancienne. Il déclare avoir corrigé la vulnérabilité en question en 2019. Et donc fait le nécessaire pour rendre impossible ce type d’agissements à l’avenir.

Les utilisateurs sont en outre invités à prendre des mesures pour améliorer la sécurité de leurs profils :

  • changement des mots de passe ;
  • actualisation des paramétrages de confidentialité pour modifier ce qui est rendu public ;
  • basculement sur de la double authentification.

Quelles sont les conséquences de cette fuite de données sur Facebook ?

Quelques jours après la découverte de cette fuite, Facebook a publiquement déclaré qu’elle n’informera pas la base des personnes concernées de cette violation.

Ce car l’incident n’est pas dû à du hacking et qu’il concerne des données publiques. Le réseau social minimise aussi l’affaire en estimant qu’il s’agit de données anciennes.

L’impact est pourtant plus important qu’il n’y paraît :

  • la base de données opère un rapprochement entre des numéros de téléphone et des profils Facebook, souvent nominatifs et donc bien réels. Elle offre par conséquent un véritable potentiel pour des attaquants informatiques qui pourront autant cibler directement ces personnes qu’usurper leurs identités.
  • Quoique les faits soient relativement anciens, la base de données n’est pas périmée pour autant. Elle porte sur des données relativement stables, que l’on ne change pas souvent. Elle reste donc très intéressante aujourd’hui encore pour des hackers.

Les victimes de cette faille pourraient dès lors faire l’objet de cyberattaques en tous genres : Tentatives d’arnaques, piratage, usurpation d’identité…

Est-ce une violation de données ou non ?

Cette fuite de données peut-elle être considérée comme une violation de données au sens où l’entend le Règlement Européen RGPD ? Une violation de données désigne des accès non autorisés aux données à caractère personnel.

Pour le réseau social, il ne fait pas de doute que ce n’en est pas une. En tout cas, Facebook ne s’est pas sentie tenue de la notifier aux personnes qui en sont victimes.

La Commission Nationale de l’Informatique et des Libertés (CNIL) a quant à elle rapidement pris une position inverse.

Quelles seront les suites de cette affaire ?

La Data Protection Commission (DPC) irlandaise a annoncé ne pas avoir été saisie spontanément par Facebook. Elle compte néanmoins mener des investigations en tant qu’autorité chef de file, une démarche à laquelle la CNIL compte participer. De son côté, l’Autorité de la protection des données (APD) belge a même recommandé aux citoyens belges de porter plainte.

La question se posera naturellement de savoir si Facebook aurait ou non dû notifier cette violation de données au régulateur.

Se pose aussi la question du respect par le réseau social de ses obligations de sécurité.

Quoique Facebook déclare avoir corrigé la faille en 2019, le site Datanews rapporte qu’en 2017 déjà, un hacker l’avait alerté à propos de sa fonctionnalité. Une telle alerte signifierait que le réseau social était au courant de la vulnérabilité et a attendu les « premières » fuites de données pour la corriger.

Conclusion : Affaire à suivre

Cette affaire montre qu’une fois découverte, une fuite de données peut avoir un important impact médiatique. Et donc un impact non négligeable sur votre e-réputation.

D’où la nécessité de travailler votre niveau de cybersécurité et de vous assurer que vos activités sont conformes à vos obligations en la matière. Cela inclut bien sûr le cadrage de vos sous-traitants.

Il reste à présent à attendre que cette affaire soit examinée par les autorités de régulation.

Et puisque l’on parle de fuite, dernièrement, le réseau social Linkedin en a également fait l’objet d’une, celle-ci portant sur les données de 500 millions de profils

 

Article rédigé par Maxime Jaillet

Les données médicales de 500 000 personnes publiées sur Internet

C’est une affaire incroyable qui occupe la presse en ce moment. Les données médicales de 500 000 personnes ont été dérobées, vendues puis mises en ligne sur Internet. La fuite proviendrait de laboratoires médicaux. Suite au retentissement médiatique de cette affaire, les autorités publiques multiplient les initiatives. Contrôles de la CNIL, plaintes, actions judiciaires… On vous dit tout dans cet article.

Les données médicales de 500 000 patients sur le dark web

Mi-février, le site Zataz repère une fuite de données médicales. Les données de 500 000 personnes ont été rendues disponibles en ligne, dans un fichier.

Ce fichier contient au total plus de 70 champs, incluant les données suivantes :

  • Nom, prénom, adresse e-mail, adresse postale ;
  • groupe sanguin, numéro de sécurité sociale ;
  • les pathologies de certains patients (VIH, tumeur au cerveau…) ;
  • les laboratoires ayant traité les données de ces patients.

Une base de données particulièrement sensibles par conséquent, et qui pourrait provenir de laboratoires. Elles concernent des analyses effectuées entre 2015 et 2020. La société Dedalus France a ainsi relevé que 28 laboratoires utilisant ses logiciels sont concernés par la violation de données.

Comment la fuite a-t-elle pu se produire ? Elle découlerait d’un transfert de fichiers de l’outil de cette société vers les serveurs internes aux laboratoires. Ces transferts auraient été interceptés par des hackers.

Initialement, les données auraient été vendues sur des forums de discussions spécialisés du dark web. A la suite d’un différend, l’internaute vendeur les aurait ensuite mises en ligne publiquement, par vengeance.

Les autorités publiques réagissent

L’Agence nationale de la sécurité ANSSI a déclaré avoir été alertée dès le mois de novembre 2020 de cette fuite et donc a débuté des investigations.

La CNIL aurait quant à elle en principe dû être prévenue par les organismes concernés. Cela n’a pas été le cas. Elle a pris connaissance des faits grâce à la presse et a donc annoncé en février 2021 mener des vérifications à son tour.

Elle a ainsi invité les entités à l’origine de la fuite de respecter les obligations légales applicables en matière de cybersécurité, à savoir :

  • notifier la violation de données à la Commission Nationale de l’Informatique et des Libertés ;
  • informer les personnes dont les données ont fait l’objet d’une violation.

Elle conduit en outre des contrôles qui pourront déboucher sur des sanctions en cas de manquement par les organismes concernés à leurs obligations de sécurité.

D’ores et déjà, la Présidente de la CNIL a saisi le tribunal judiciaire. Lequel a ordonné aux principaux fournisseurs d’accès à Internet de bloquer l’accès à un site mettant en ligne les données.

Sans surprise, cette affaire a conduit de nombreux particuliers à porter plainte. Une enquête judiciaire a d’ailleurs été lancée le 25 février. Elle a été confiée à l’OCLCTIC.

Affaire à suivre.

 

Article rédigé par Maxime Jaillet

Les hôpitaux publics visés par des attaques de ransomware

Les attaques par ransomware se multiplient en France. Les pirates s’en prennent de plus en plus aux hôpitaux. Le centre d’Oloron-Sainte-Marie est ainsi l’une des dernières victimes en date. Rapport de l’ANSSI, contrôles de la CNIL, plan de lutte gouvernemental… Les initiatives se multiplient pour accompagner l’évolution de ce secteur sensible vers plus de cybersécurité. On vous dit tout dans cet article.

Ransomware – Après Dax, Oloron-Sainte-Marie

Les ransomwares ont fait une nouvelle victime. Cette fois, les pirates s’en sont pris au centre hospitalier d’Oloron-Sainte-Marie.

Que s’est-il passé ? Les hackers ont installé un ransomware. Ce fichier se charge de pénétrer le système d’information de la victime pour chiffrer les données, rendant leur accès impossible.

Bien souvent, il est envoyé sous forme de pièce-jointe par e-mail aux salariés travaillant dans l’entité concernée. Elles pensent par exemple télécharger une facture ou un bon de commande alors qu’elles installent un fichier malveillant.

En l’occurrence, l’accès aux données des patients ainsi qu’au stock de médicaments a été très perturbé. Et ainsi la mécanique économique de cette attaque peut se mettre en place.

Une rançon de 50 000$ a en effet été exigée en échange de la clé de déchiffrement. L’hôpital a annoncé officiellement qu’il ne paiera pas. Il a d’ailleurs porté plainte auprès de la gendarmerie.

En attendant que tout soit réparé, l’hôpital tourne au ralenti, au risque de devoir déprogrammer certaines opérations. Pour continuer ses activités, le personnel doit en effet revenir aux anciens procédés et au papier.

Les hôpitaux, cible privilégiée des hackers

Le développement des attaques reposant sur l’ingénierie sociale fait de la cybersécurité un enjeu toujours plus critique.

Si ces attaques gagnent en intensité depuis plusieurs années, les hackers convoitent des cibles particulièrement sensibles. Les hôpitaux, par exemple. Et de ce point de vue, le début de l’année 2021 a été riche en actualités. L’hôpital de Dax en a ainsi fait les frais. A Villefranche-sur-Saône, une autre attaque a entraîné le report de toutes les opérations chirurgicales.

Il faut dire que ces structures traitent une volumétrie importante de données particulièrement sensibles. L’ANSSI s’est toutefois inquiétée du niveau de sécurité de leurs systèmes d’information en publiant en février un rapport accablant.

Elle dresse ainsi des constats alarmistes :

  • Les systèmes d’information peuvent être complexes, disparates et souvent obsolètes ;
  • Les interconnexions sont nombreuses avec des outils tiers, en provenance de partenaires ou d’entreprises externes ;
  • Le budget alloué à la cybersécurité est parfois sacrifié ;

Vaut-il mieux payer les hackers ? L’impératif de la continuité d’activité pourrait pousser certaines victimes à le faire pour obtenir la clé de déchiffrement des données. Et pourtant, cela ne garantit pas que les ennuis cesseront. Il est donc recommandé de ne pas céder aux demandes des pirates.

La cybersécurité des hôpitaux, une priorité

En février 2021, le Gouvernement a annoncé un plan visant à renforcer la sécurité informatique des hôpitaux comprenant une enveloppe de 350 millions d’euros.

L’accent sera mis sur l’audit et la formation. En revanche, le remplacement des infrastructures informatiques existantes n’est pas à l’ordre du jour.

Du côté de la régulation, les données de santé et la cybersécurité font partie des thématiques prioritaires des contrôles qui seront initiés par la CNIL pendant l’année 2021.

La Commission Nationale de l’Informatique et des Libertés en profitera pour s’intéresser aux stratégies mises en œuvre pour se prémunir des attaques par ransomware.

 

Article rédigé par Maxime Jaillet

Vos cookies respectent-ils les lignes directrices de la CNIL ?

Les lignes directrices de la CNIL entrent en vigueur fin mars 2021. Grâce aux cookies, vous pouvez identifier un utilisateur et collecter ses données. Sujet sensible aux yeux du régulateur, leur encadrement est aujourd’hui indispensable. Cela vous conduira à appliquer une vraie politique de gestion rigoureuse. On vous dit tout dans cet article.

Que sont les cookies et pourquoi des lignes directrices ?

Les cookies sont de petits fichiers textes qui se déposent lors du chargement de votre site web. Ils vous permettent de collecter des données sur vos utilisateurs. Néanmoins, le régulateur s’en préoccupe désormais, au point d’avoir publié des lignes directrices. Ce sujet doit donc devenir une de vos priorités.

Qu’est-ce qu’un cookie ?

Savez-vous comment fonctionne votre site internet ?

Lorsqu’un internaute s’y connecte à l’aide de son navigateur, un ou plusieurs cookies seront déposés. Ces petits fichiers textes vous permettent d’attribuer un identifiant à chacun de vos utilisateurs pour les reconnaître. Ils facilitent la collecte de leurs données.

Ils peuvent être déposés :

  • par l’éditeur du site directement.
  • par des tiers fournisseurs de modules intégrés au site : boutons de partage sur les réseaux sociaux, outils analytics, modules publicitaires… Ces solutions fonctionnent grâce à des « cookies tiers ».

Un petit site vitrine déposera 1 ou 2 cookies maximum. Cela peut monter à 40 à 50 pour des sites complexes. Certains sites atteignent même les 100 à 150 traceurs.

Pourquoi gérer ses cookies ?

Éditeur de votre site, vous êtes responsable des traitements de données personnelles qui peuvent en découler.

Il faut donc mettre votre site web en conformité RGPD et cela comprend le sujet des cookies.

La CNIL a en la matière publié une recommandation et des lignes directrices qui entreront en vigueur fin mars 2021. Mais d’ores et déjà, des sites de e-commerce, de rencontres et même des GAFAM ont été contrôlés voire sanctionnés pour avoir déposé des cookies publicitaires sans recueil d’un consentement.

Comment respecter les lignes directrices de la CNIL sur les cookies ?

Respecter les exigences légales nécessitera d’appliquer une vraie politique de gestion de vos cookies. Transparence sur leur fonctionnement, gestion des consentements… Vous pourrez pour cela vous appuyer sur un module de gestion des cookies. Vous devrez également revoir et mieux encadrer votre relation avec les fournisseurs de modules et plugins tiers.

Transparence et consentement, les maîtres mots pour déposer des cookies

Lors de sa première visite sur votre site web, l’utilisateur doit recevoir une information sur les cookies déposés. Cela passe par la création d’une rubrique dédiée sur votre site mais pas uniquement. L’autorisation préalable de l’utilisateur sera même indispensable pour certains de vos traceurs.

  • en pratique, vous installerez donc sur votre site un module de gestion des cookies qui prendra en charge plusieurs fonctionnalités :
  • l’affichage d’une bannière permettant d’informer l’utilisateur sur les principales finalités des cookies utilisés. Il pourra faire un choix global, à savoir les accepter ou non ;
  • l’affichage d’un module comprenant un ou plusieurs écrans ultérieurs grâce auxquels il sera possible de faire des choix plus fins, par grande famille de cookies voire par cookies.
  • la tenue d’un registre car il est nécessaire de stocker la trace numérique et horodatée de chacun des consentements recueillis.
  • le module restera accessible à l’utilisateur pour qu’il puisse revenir sur ses choix à tout instant pendant sa navigation.

Concrètement, l’outil gérera donc trois règles de gestion :

  • les cookies purement techniques (gestion des préférences de langue, stockage du panier d’achat…) seront déposés dès le chargement du site.
  • les cookies publicitaires, sociaux, vidéo et de personnalisation ne seront déposés que si le visiteur l’accepte spécifiquement.
  • le visiteur sera mis en mesure de s’opposer s’il le souhaite au dépôt de tout ou partie des cookies.

Quid des cookies de mesure d’audience ?

Moyennant respect de conditions strictes, les cookies de mesure d’audience sont exemptés de consentement. En pratique, tout dépend de l’utilisation que vous faites de votre solution de webanalytics :

  • les cookies servant à de la mesure d’audience à partir de grandes masses seront effectivement déposés sans attendre un consentement de l’utilisateur. Il pourra quand même s’opposer à leur dépôt à l’avenir.
  • les cookies utilisés pour de la mesure d’audience publicitaire, pour du suivi multi-sites de sa navigation ou pour les besoins propres de vos fournisseurs relèvent, eux, du régime du consentement préalable.

La CNIL a récemment annoncé que des précisions complémentaires seront publiées à leurs sujets.

Encadrez votre relation avec vos fournisseurs

Nous parlons des sociétés qui vous fournissent un lecteur vidéo, une solution de mesure d’audience… Bien encadrer votre relation avec vos sous-traitants est absolument indispensable.

Pour cela :

  • assurez-vous d’avoir signé avec eux un contrat ou accepté des conditions générales comportant des clauses en matière de protection des données personnelles.
  • sécurisez les transferts de données dans le cas de fournisseurs établis hors Union Européenne. Vous pouvez par exemple signer avec eux des clauses types.

Dans certains cas, le fournisseur ne sera pas que sous-traitant mais aussi responsable conjoint voire responsable d’un autre traitement. Certains fournisseurs d’outils analytics ou les réseaux sociaux collectent en effet des données pour améliorer leurs propres services et non uniquement pour vous délivrer une prestation de services.

La définition des rôles et la répartition des obligations à respecter devra donc elle aussi être précisée dans le contrat.

Conclusion : Il est temps de mettre en conformité vos cookies

La Commission Nationale de l’Informatique et des Libertés (CNIL) a récemment adressé des courriers tant à des sociétés privées qu’à des acteurs publics pour leur rappeler de respecter les règles.

Pour autant, pas de panique. L’entrée en vigueur au mars 2021 ne veut pas dire que vous serez forcément contrôlé et encore moins sanctionné.

Malgré tout, c’est un signal fort qu’il est temps d’optimiser la gestion de vos cookies. Vous y gagnerez en maîtrise du risque réglementaire. D’autres bénéfices sont également attendus :

  • l’amélioration de l’expérience utilisateur sur votre site ;
  • l’optimisation de votre collecte de données, une plus grande pertinence de vos communications commerciales.

Alors n’attendez pas pour vous y mettre.

Article rédigé par Maxime Jaillet

RGPD – Comment gérer sa relation avec les sous-traitants ?

Gérer sa relation avec les sous-traitants, c’est indispensable pour garantir la conformité RGPD de ses traitements de données personnelles. En tant que client, vous jouez en effet le rôle du responsable de traitement, ce qui implique de respecter plusieurs étapes : rigueur dans le choix de vos fournisseurs, signature d’un contrat, instructions écrites. On vous dit tout dans cet article.

Choisissez des sous-traitants aptes à respecter le RGPD

Externaliser une prestation de services, souscrire une licence d’utilisation d’un logiciel SaaS n’est pas une décision anodine. Une entité tierce sera en effet appelée à manipuler, exploiter des données à caractère personnel pour le compte de votre entreprise.

Or en tant que responsable de traitement, vous êtes comptable de la manière dont les données sont exploitées. Y compris par vos sous-traitants. La responsabilité ne se délègue pas.

Il est donc désormais essentiel que vos critères pour choisir un sous-traitant englobent son aptitude à respecter les obligations légales. Pour cela, vous allez :

  • évaluer la maturité du sous-traitant, son expertise technique, son niveau de protection et de sécurité des données, ses ressources ;
  • examiner dans le détail les mesures techniques et organisationnelles mises en place au travers de toute une documentation (politique de protection de la vie privée, contrats, politique de sécurité…). En cas de contrôle, la CNIL vous demandera ce type de documents.

Vous appuierez bien sûr pour cela sur votre Data Protection Officer (DPO).

Signez un contrat avec vos sous-traitants

Avant le RGPD, il y avait la loi Informatique et Libertés du 6 janvier 1978. Les sous-traitants devaient principalement garantir un haut niveau de sécurité des données qu’ils manipulaient pour leurs clients.

Le Règlement Européen renforce ces contraintes réglementaires. Cette situation nouvelle a d’ailleurs conduit la CNIL à produire en 2017 un guide pédagogique à destination des sous-traitants.

Vous signerez ensemble un document qui encadrera la prestation délivrée et l’utilisation des données.

Ce document peut prendre diverses formes :

  • clauses de protection des données adossées à des conditions générales ou un contrat ;
  • annexe relative à la protection des données personnelles ;
  • contrat de protection des données (ou DPA – Data Processing Agreement).

Il décrit les caractéristiques du traitement. Et particulièrement :

  • son objet, qui correspond aux prestations réalisées ;
  • la durée de conservation des données collectées ;
  • les types de données traitées et les catégories de personnes concernées (clients, prospects, collaborateurs…) ;
  • les droits et obligations du responsable du traitement.

Le sous-traitant communique les données à une filiale ou un autre sous-traitant établi hors Union Européenne ? Des clauses contractuelles types seront ajoutées à l’ensemble contractuel. Il s’agit d’un texte standard, dont le modèle est fourni par la Commission Européenne et que les parties s’engagent à respecter pour sécuriser ce transfert de données.

Adressez des instructions écrites à vos sous-traitants

Le contrat constitue un support de base. Il sera complété par des instructions que vos équipes métiers adresseront aux services de votre prestataire.

En pratique, les échanges informels, oraux et téléphoniques, seront légion. Pourtant, il est important de les formaliser par écrit pour garantir la traçabilité du contrôle que vous exercez sur vos sous-traitants.

Ces instructions porteront par exemple sur les envois de fichiers, le transfert de données hors Union Européenne ou le recours à un nouveau sous-traitant.

En fin de contrat, c’est aussi vous qui déciderez de ce que le fournisseur doit faire de vos données :

  • Vous les restituer ?
  • Les supprimer, y compris toute copie ?

Quelles sont les obligations RGPD de vos sous-traitants ?

Le RGPD définit les obligations légales de vos sous-traitants. Le contrôleur européen à la protection des données les a précisées dans des lignes directrices, relatives aux concepts de responsable du traitement et de sous-traitant.

Quelles sont ces obligations ?

  • N’agir que sur la base d’instructions fournies par son client ;
  • Alerter le client en cas d’instructions non conformes à la réglementation ;
  • N’autoriser l’accès aux données qu’aux membres du personnel ou à des prestataires en ayant besoin pour l’exécution du contrat. S’assurer que ces personnes sont soumises à une obligation légale ou contractuelle de confidentialité.
  • Mettre en place les mesures appropriées au titre de l’obligation de sécurité. Votre entreprise imposera par des objectifs de sécurité à respecter. Le sous-traitant en définira le détail dans une politique de sécurité qui devra être tenue à disposition et même acceptée par son client. En cas de changement, cet accord devra être à nouveau sollicité.
  • Obtenir l’accord du client pour tout changement, ajout ou suppression de sous-traitant. Cet accord pourra prendre la forme d’une autorisation préalable ou d’un droit d’émettre des objections pendant une période donnée après que votre fournisseur vous ait informé.
  • Soumettre ces sous-traitants aux mêmes obligations de protection des données et de sécurité que celles lui incombant vis-à-vis du responsable de traitement. Dans tous les cas, le sous-traitant sera responsable des manquements de ses propres sous-traitants.
  • Assister le responsable de traitement dans la prise en charge des demandes d’exercices de droit (accès, rectification, effacement…). Le fournisseur vous transmettra les requêtes qu’il reçoit en direct et collaborera avec vous pour leur bonne prise en compte.
  • Assister le responsable de traitement dans l’accomplissement de ses propres obligations en matière de sécurité des données, de traitement des violations de données, de réalisation d’une étude d’impact DPIA-AIPD ou de consultation préalable de l’autorité de régulation.
  • Mettre à la disposition de son client toutes informations nécessaires pour démontrer le respect des obligations légales et pour répondre à un audit. En tant qu’entreprise cliente, au-delà de la signature d’un contrat, vous devrez en effet pouvoir contrôler le respect dans les faits des obligations légales par vos sous-traitants.

Conclusion : Encadrez vos sous-traitants pour maîtriser votre conformité RGPD

Le contrôle de vos fournisseurs et prestataires implique de revoir vos processus à l’œuvre. Il s’agit à la fois :

  • de prendre davantage en compte, pour l’avenir, la protection des données personnelles parmi les critères de choix des sous-traitants ;
  • de revoir l’encadrement de votre parc de fournisseurs.

C’est indispensable, vous serez comptable des manquements réglementaires de vos fournisseurs, par exemple en cas de fuite de données. Le délégué à la protection des données jouera un rôle fondamental dans cette démarche.

 

Article rédigé par Maxime Jaillet

An army of robots efficiently sorting hundreds of parcels per hour(Automated guided vehicle) AGV.

Cookies : sanction à l’encontre d’AMAZON EUROPE CORE

La formation restreinte a relevé que lorsqu’un internaute se rendait sur l’une des pages du site amazon.fr, un grand nombre de cookies à vocation publicitaire était instantanément déposé sur son ordinateur, c’est-à-dire avant que celui-ci n’exécute la moindre action. Or, la formation restreinte a rappelé que ce type de cookies, non essentiels au service, ne pouvait être déposé qu’après que l’internaute a exprimé son consentement. Elle a considéré que le fait de déposer des cookies concomitamment à l’arrivée sur le site était une pratique qui, par nature, était incompatible avec un consentement préalable.

Le 7 décembre 2020, la formation restreinte de la CNIL a sanctionné la société AMAZON EUROPE CORE d’une amende de 35 millions d’euros.


Source : https://www.cnil.fr/fr/cookies-sanction-de-60-millions-deuros-lencontre-de-google-llc-et-de-40-millions-deuros-lencontre-de