La CNIL et Bpifrance en partenariat pour aider les TPE et PME à se conformer au RGPD

Cybersécurité Data perenne-it RGPD

Le RGPD entre en application le 25 mai prochain. C’est pourquoi la CNIL, régulateur des données personnelles et Bpifrance, partenaire des entreprises, ont décidé de collaborer pour créer un guide pratique pour éclairer les entrepreneurs ainsi que leur proposer un accompagnement pragmatique adapté à leur situation pour passer à l’action. 

CNIL RGPD

Le guide pratique CNIL/Bpifrance pour accompagner les TPE et PME vers la conformité au RGPD 

On compte pas loin de 4 millions d’entreprises en France dont la majorité sont des micro-entreprises. Beaucoup de dirigeants se sentent démunis face à cette nouvelle réglementation. La CNIL et Bpifrance ont donc choisi d’unir leurs efforts pour élaborer un guide qui mettrait l’entrepreneur au centre de la mise en œuvre du RGPD et organiser de manière simple les actions à mettre en place pour se conformer au règlement européen. Ce guide permettra également aux entrepreneurs d’organiser davantage les données de l’entreprise et ainsi les valoriser en vue de son développement.  

Les TPE et PME qui utilisent très peu de données dans leur activité auront des changements limités à mettre en place puisque les seuls critères seront le volume et la sensibilité des données traitées. 

Les opportunités qui se dégagent du RGPD

Les aspects juridiques et techniques du RGPD ne doivent pas cacher les nombreuses opportunités que présente cette réglementation. Comme la sécurisation de leur système d’information et leur transformation digitale.  

Une fois les données sécurisées, les entreprises peuvent communiquer sur la sûreté de leur système d’information afin de renforcer la confiance tant avec les fournisseurs que les clients. Le RGPD peut également se traduire comme créateur de valeur en introduisant de nouveaux concepts et en créant des axes de développement.  

La CNIL veut en finir avec l’alarmisme sur le RGPD. Avec ce guide, ils veulent montrer qu’il est possible de se mettre en conformité en adoptant des réflexes simples. Les consommateurs aujourd’hui sont de plus en plus soucieux de leurs données personnelles, c’est pourquoi avoir une relation de confiance avec ses collaborateurs est devenu indispensable. La digitalisation constitue un accélérateur de croissance et de compétitivité essentiel pour les entreprises, y-compris pour les TPE et PME. Bpifrance s’engage à être aux côtés de ces dernier à travers leurs outils de financement et d’accompagnement. Ce guide de sensibilisation au RGPD est une brique supplémentaire pour les inciter à utiliser pleinement le levier du digital. 

Bpifrance dont la mission principale est d’accompagner les entreprises dans leur développement au quotidien, participera activement à la sensibilisation de ses clients TPE et PME au RGPD en diffusant largement le guide en collaboration avec la CNIL ment au travers d’évènements organisés sur l’ensemble du territoire.  

Les autorités européennes de protections des données ne laisseront pas de délai à l’Icann

Cyberattaque Cybersécurité Data RGPD Sécurité

La polémique entre l’Icann et les autorités européennes n’est pas terminée. L’icann aurait demandé aux autorités un délai afin de pouvoir effectuer les changements nécessaires pour être en conformité avec le RGPD et ainsi éviter une sanction. Cependant, ce délai n’a pas été accordé. 

l’Icann vs Les autorités européennes de protection des données

Le service WHOIS de l’Icann en danger

L’Icann (Internet Corporation for Assigned Names and Numbers) semble incapable de tenir la deadline du 25 mai pour se mettre en conformité au RGPD. Le service WHOIS de l’Icann est en particulier dans le collimateur des autorités européennes de protection des données depuis plusieurs années. Ce dernier permet de récupérer les noms, prénoms et adresses mails des détenteurs de noms de domaines via les bases de données constituées par les bureaux d’enregistrement et les registres de noms de domaine. 

Cette fonctionnalité se montre très utile pour les particuliers comme pour les forces de l’ordre, avec la possibilité de retrouver les informations relatives à un administrateur web simplement et rapidement. 

Cependant, avec l’arrivée du RGPD, le fait d’être obligé d’exposer ces données pose problème. L’approche protectrice du RGPD à l’égard des données de citoyens européens n’est pas en accord avec la mise à disposition de ces données qui peuvent exposer les sociétés qui se chargent de maintenir ce répertoire de données. 

Une demande de délai refusée par les autorités

Dans un communiqué, l’Icann révèle ses échanges avec les autorités européennes de protections des données. L’Icann espérait alors obtenir des précisions concernant le RGPD et son application ainsi que la manière dont il fallait revoir le service WHOIS afin qu’il soit conforme. Mais l’Icann espérait surtout obtenir un délai supplémentaire pour se mettre en règle à temps puisque les changements à effectuer sur le service risque de prendre du temps à mettre en place.  

Les autorités européennes ne sont pas prêtes à accorder ce délai à l’Icann, c’est ce que relate l’organisation dans un autre communiqué en échange avec le G29. Ce dernier qui a apporté un certain nombre de précisions à l’Icann concernant l’application du RGPD ne lui accorde pas de délai pour autant ce qui déplait fortement à l’organisation qui craint une fragmentation du service WHOIS entre les acteurs qui chercheront à se mettre en règle à l’égard des règlements européens et ceux qui choisiront de s’en tenir uniquement aux obligations imposées par l’Icann. 

Les autorités américaines craignent une fragmentation du service WHOIS et font donc également pression sur l’Icann pour conserver un service WHOIS offrant un accès simple et rapide aux autorités qui veulent collecter des données sur les noms de domaine enregistrés. D’autres acteurs redoutent les problèmes que pourrait engendrer une fragmentation du service WHOIS. Par exemple, cela pourrait faire obstacle aux enquêtes des autorités ainsi qu’aux efforts de la communauté pour lutter contre le spam. 

Ce qui n’a cependant pas été précisé, c’est que les autorités de protection des données ont commencé à envoyer des avertissements à l’Icann il y a plusieurs années sur ce même sujet. L’Icann a jusqu’alors ignoré ces avertissements mais l’organisation pourrait bien en payer le prix aujourd’hui. 

L’affaire Facebook/Cambridge Analytica

Cyberattaque Cybersécurité Data Sécurité

Le data que possède Facebook grâce à ses utilisateurs représente une vraie mine d’or en termes de marketing. Il y a peu, un fabricant d’applications a enfreint les règles d’utilisation du réseau social. La question qui se pose alors est quelle est la responsabilité de Facebook dans ce cas de figure ? 

Facebook Cambridge Analytica
L’affaire Facebook/Cambridge Analytica

Facebook au cœur de la polémique

Le réseau social est au centre d’une polémique autour de l’élection présidentielle de 2016 qui changera très certainement la manière dont le réseau social va traiter les données de ses utilisateurs ainsi que leur accès aux développeurs d’applications. 

Le NY Times a rapporté que la société Cambridge Analytica, un prestataire de la campagne de Donald Trump a pu recueillir les données de 50 millions de comptes Facebook sans consentement de la part des utilisateurs. 

Pour avoir accès à ces données, Cambridge Analytica aurait eu recours aux services de Aleksandr Kogan, un professeur de Cambridge. Le professeur a créé une application appelée « thisisyourdigitallife », un test de personnalité, une application qui se veut devenir une application de recherche pour les psychologues.  

Pour le développement de son application Kogan a eu le droit à un accès légal aux données de 270 000 comptes Facebook avec la fonction de connexion du réseau social qui permet également d’utiliser son compte pour se connecter à des applications externes. Cependant, au moment où Kogan a eu l’accès, le réseau social permettait aux développeurs en plus d’accéder aux données des utilisateurs de la fonctionnalité, d’avoir accès à d’autres données sur leur réseau d’amis. C’est ainsi que les données de 50 millions de comptes ont pu être récupérées. 

Lorsque Facebook a appris en mai 2015 que Kogan avait transmis les données à Cambridge Analytica, le réseau social a ordonné que toutes les données soient supprimées et assure avoir reçu la confirmation que les données étaient supprimées. Pourtant, il s’avère que tout n’est pas été effacé en mai 2015 selon plusieurs témoignages. 

Le réseau social est-il responsable ?

La responsabilité de Facebook dans cette affaire est donc mise en cause puisque le réseau social gère les données de plus de 2 milliards d’utilisateurs. La question est alors de savoir si Facebook aurait pu prendre d’autres mesures pour garantir la suppression des données ? Et comment le réseau social peut-il s’assurer que d’autres développeurs ne transfèrent pas les données qu’ils collectent à des tiers ? Autant de questions qui restent sans réponses de Facebook pour l’instant.  

Ce n’est pas la première fois que Facebook fait face aux critiques au niveau de l’utilisation des données des comptes utilisateurs. La juridiction américaine fait donc pression sur Facebook en les menaçant de réguler le traitement des données utilisateurs et demande à Mark Zuckerberg de témoigner devant le Sénat. 

Le plus problématique pour Facebook dans l’affaire Cambridge Analytica c’est que la société n’a pas profité d’une faille de sécurité de Facebook, n’a pas cherché à pirater le réseau social et n’a pas volé de mots de passe. Ils ont simplement utilisé Facebook et ses fonctionnalités. 

Facebook est tout de même responsable des comportements malveillants de certains acteurs et devra donc s’expliquer davantage sur les systèmes de protections de données de ses utilisateurs. 

RGPD: Les parties prenantes

perenne-it RGPD Sécurité

Quelles sont les parties prenantes du RGPD ?

Le règlement général de la protection des données (RGPD) implique l’entrée de nouvelles parties prenantes dans la gestion des données personnelles. Ces dernières ont été décidés par l’autorité européenne de la protection des données.

RGPD

Les différentes parties prenantes qui interagissent dans la protection des données personnelles sont :

  • L’individu : la personne qui autorise l’entreprise à utiliser ses données
  • L’entreprise : nomme le représentant légal, le responsable du traitement des données ainsi que le sous-traitant
  • Le représentant légal: point de contact de l’autorité, il a mandat pour être consulté en complément ou à la place du responsable de traitement
  • Le responsable du traitement des données : détermine les finalités et les modalités de traitement de données personnelles
  • Le sous-traitant : a une obligation de conseil auprès du responsable de traitement pour la conformité à certaines obligations du règlement (PIA, failles, sécurité etc…)
  • L’autorité européenne de protection des données : régi l’ensemble des litiges concernant la protection des données personnelles au sein de l’Union Européenne
  • L’Etat membre : collabore avec l’autorité européenne de protection des données afin de régler les potentiels litiges

Ces acteurs doivent interagir entre eux afin que la protection des données personnelles soit assurée. Dans les mois à venir la relation entre ces différents acteurs va donc se fluidifier et le RGPD prendra réellement effet à compter du 25 mai 2018.

RGPD: Les sanctions

perenne-it RGPD Sécurité

Quelles sont les sanctions encourues en cas de non respect du RGPD ?

Les sanctions sont une grosse part du dossier RGPD puisqu’elles ont été décidées en conséquence de l’importance de la question du traitement des données personnelles.

RGPD

Les responsables de traitement des données personnelles et les sous-traitants peuvent donc faire l’objet de sanctions lorsque les directives du RGPD ne sont pas respectées au sein de leur entreprise.

Les autorités de protection peuvent alors mettre en place plusieurs pénalités :

  • Prononcer un avertissement
  • Mettre en demeure l’entreprise
  • Limiter temporairement ou définitivement un traitement
  • Suspendre les flux de données
  • Ordonner de satisfaire aux demandes d’exercice des droits des personnes
  • Ordonner la rectification, la limitation ou l’effacement des données
  • Mettre une amende administrative qui peut s’élever, selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du chiffre d’affaire annuel mondial

Ces sanctions, lourdement renforcées par rapport au précédent texte de loi de 1995, ont pour but de dissuader les entreprises de négliger le traitement des données personnelles au sein de leur structures ainsi que de les inciter à désigner des responsables au traitement de celles-ci.

Les sanctions seront mises en œuvre grâce à une autorité européenne compétente qui aura pour responsabilité de prendre les décisions concernant ces sanctions. Elle le fera en collaborant avec les autorités locales du pays dans lequel l’infraction à été commise.