Powered by CloudFlare

Commentaires récents

    Catégories

    RGPD: Petit rappel de ce que vous devez mentionner dans votre déclaration de données

    Le RGPD – Règlement Général sur la Protection des Données (ou GDPR en anglais) sera applicable à partir du 25 mai 2018. Avez-vous désigné un DPO (Délégué à la Protection des Données), préparé un registre de traitement des données, revu vos contrats sous-traitants, sensibilisé vos collaborateurs, etc. ?
    -236Days 00Hours -55Minutes -42Seconds
    Le 25 mai 2018, le règlement européen sera applicable. De nombreuses formalités auprès de la CNIL vont disparaître. En contrepartie, la responsabilité des organismes sera renforcée. Ils devront en effet assurer une protection optimale des données à chaque instant et être en mesure de la démontrer en documentant leur conformité:
    1. Nom et coordonnées du responsable et, le cas échéant, du délégué à la protection des données.
    2. Bases juridiques envisagées.
    3. Intérêts justifiés de la personne responsable.
    4. Destinataire des données ou catégories de destinataires des données.
    5. Informations relatives à la transmission dans des pays étrangers.
    6. Délais de suppression ou critères pour leur détermination.
    7. Informations sur les droits d’accès, de modification, de blocage, de suppression, d’opposition et deportabilité des données.
    8. Droit de porter plainte auprès des autorités de surveillance.
    9. Information sur le droit de retrait des consentements accordés à tout moment.
    10. Pour les processus décisionnels automatisés, y compris le profiling, la logique appliquée ainsi que l’ampleur et les effets escomptés du traitement.
    11. Si les données ne sont pas recueillies auprès de la personne concernée (par exemple à partir d’une source publique), la provenance des données.
    Nous vous rappellons que vous pouvez mutualiser un DPO et selon notre expérience, un jour par mois suffirait à ce Pilote par excellence pour suivre les jalons que vous auriez défini ensemble. DPOaaS est un business de Certified Internet Solutions (1994 – )

    Un logiciel espion derrière une application de psychologie

    Imaginons un scénario cauchemardesque avec le titre suivant dans les médias et réseaux sociaux:

    [Le nom de votre entreprise] dans la tourmente, les comptes de ses clients et utilisateurs compromis.

    Ça peut vous arriver sans la nomination d’un DPO et l’arrivée de RGPD le 25 Mai prochain. Soulignons que si ce scandale avait été découvert après le 25 Mai, l’amende prévue par la RGPD est de 4% du CA… Ce qui est certainement plus intéressant c’est l’impact en termes d’image. En effet, votre e-réputation prendrait un sacré coup ! Modus Operandi : L’application développée par Aleksandr Kogan, « thisisyourdigitallife », s’affichait sur Facebook comme « une application de recherche utilisée par les psychologues ». Elle proposait de payer les utilisateurs pour remplir des tests de personnalité. Quelque 270 000 personnes ont téléchargé cette application, permettant à son développeur d’accéder à des informations comme la ville renseignée sur leur profil ou le contenu qu’elles avaient apprécié. « Mais l’application a aussi collecté les informations des amis des personnes effectuant les tests, permettant d’accumuler des données sur des dizaines de millions de personnes », précise The Observer. Facebook a expliqué que Kogan avait pu récolter légalement les données des utilisateurs, mais avait « violé les règles de la plateforme » en les transmettant à Cambridge Analytica inter-alia…. Nous allons considérer cet incident comme une piqure de rappel et que « ceci n’arrive pas qu’aux autres ». Et, je souhaite réitérer que vous n’avez pas besoin d’un DPO à plein temps. Un jour par mois suffirait amplement d’où la naissance https://DPOaaS.fr et n’oublions pas, avez-vous un certificat SSL valide ? J’ai vu des sites dont leur certificats sont un peu fantaisiste, contactez-nous pour une remédiation: https://SSLpourTous.fr
    -236Days 00Hours -55Minutes -42Seconds
    Au plaisir,

    Which came first, the chicken or the egg?

     

    Here, we are not talking about Molecules, Atoms even more Elements but about your Information Technology legacy and future and how it will affect your company’s Data Protection Policy as a whole.

    Once upon a time, a Certificate was required for websites for accepting Credit Cards and for financial operations.

    Today, your website may not be secure, and later this year, Google will begin to put up a giant red flag that most of your page visitors will see.

    Needless to say, this warning will spook many of your [customers/clients/buyers] and they will simply leave your site.

    The way to fix this is to add what’s known as a SSL Certificate, which tells the visitor that your site belongs to your business, and also encrypts the data they input (such as their name, email, password, and payment info.)

    We have various solutions for you. The most efficient and straight forward is via:

    https://www.ssl2complyseo.com/

    There is a video that explains more in detail about SSL. However, we will need your Control Panel details to be able to install the SSL certificate and check eventual issues and solve them accordingly.

    Otherwise, by Spring 2018, many of your site visitors will likely take their businesses elsewhere, and your site traffic will see a significant reduction.

    This will cause you to lose leads, rank in listings, and ultimately – money, so please reach out to me as soon as possible.

    Needless to say that our team has the knowledge, experience and the ability to troubleshoot systems, coding etc. and we have been in the Internet Business since 1996.

    Now that we control the behavior of HTTPS for your sites, let’s get into GDPR (General Data Protection Regulation) which is the next problem to be taken care of by 28th May, 2018.

    -233Days 00Hours -55Minutes -42Seconds

    The EU GDPR will increase privacy for individuals and give regulatory authorities greater powers to take action against businesses that breach the new laws.

    Note: The regulation also applies to non-EU companies that process personal data of individuals in the EU.

    Some “agencies” are presenting GDPR as a burden to Companies *and* also the penalties that the EU have announced. (Fines of up to 4% on annual turnover or €20 M, whichever is the greater.) GDPR will force organizations to take more care over the data they store. We are going to explain what GDPR is in a few steps:

    1. Data Protection by Design and by Default
    In addition to the regulations surrounding public notification, Article 25 of GDPR mandates that data protection be implemented ‘by design and by default.’ As a result, it is imperative that organizations ensure software applications are secure throughout their lifecycle, with data protection measures designed in from the very beginning.

    1. Appoint a Data Protection Officer (DPO)Article 37(1) of the GDPR states that a DPO must be appointed if:
    • the relevant data processing activity is carried out by a public authority or body;
    • the core activities of the relevant business involve regular and systematic monitoring of individuals, on a large scale; or
    • the core activities of the relevant business involve processing of sensitive personal data, or data relating to criminal convictions and offences, on a large scale

    3. Track sensitive data and report any breaches
    Organizations that control personal data are required to report personal data breaches that pose a risk to the rights and freedoms of individuals to their supervisory authorities without undue delay, and, where feasible, no later than 72 hours once they become aware of the breach.

    1. Extended individual rightsThe GDPR provides the following rights for individuals:
    1. The right to be informed
    2. The right of access
    3. The right to rectification
    4. The right to erasure
    5. The right to restrict processing
    6. The right to data portability
    7. The right to object
    8. Rights in relation to automated decision making and profiling.

    5. Cross-border data transfers
    The position under the General Data Protection Regulation “GDPR” relating to international transfers of personal data is similar to the existing regime under the Data Protection Directive (the “Directive”). However, there are a number of important differences that are likely to have key practical implications.

     

    1. Understand international guidelinesIf your organization operates in more than one EU Member State, determine your lead data protection supervisory authority. Not sure where to start? In December 2016, the Article 29 Working Party (“WP29”) published its Guidelines for Identifying a Lead Supervisory

    Authority to help organizations with this determination.

    1. Check your systems for minorsMinors age must be checked and legal consent obtained if and where necessary.
    2. Ditto for general Data processingDid you get explicit authorization from your users? Define a Privacy Policy and get your users to tick a box and acknowledge that they agree to it.

    As you can see, this is obviously not as exhaustive as you might imagine. We have been very thrifty on the information because the EU issued the full blown works here:

    Documents

    Law: General data protection regulation – (EU) 2016/679

    Directive (EU) 2016/680 on the protection of natural persons regarding processing of personal data connected with criminal offences or the execution of criminal penalties, and on the free movement of such data

    What do Certified Internet Solutions Group do in all this?

    1. Secure your website in order to comply with SSL/Data collection (first part of this article)
    2. Conduct an audit of your IT and through our partnership with Law Firms in your country advise you on how to effectively get to terms with the EU

    REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL

    of 27 April 2016

    on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation).

     

     

     

     

     

    RGPD – GDPR – Qui de l’œuf ou la poule est arrivé en premier?

    Nous n’allons pas faire une dissertation sur cette question ancestrale mais nous allons plutôt nous concentrer sur votre informatique dans le grand sens du terme.

    Auparavant, un certificat était obligatoire pour les sites Internet qui prenaient des cartes de crédit et/ou récoltaient des informations de type financières.

    Il se pourrait qu’aujourd’hui votre site Internet ne soit pas sécurisé selon les normes actuelles. En effet, dans le courant de l’année 2018, Google commencera à signaler en gras, Rouge Lucifer etc. une bannière pour le signaler à vos visiteurs que ce soient des utilisateurs, clients ou acheteurs :

    Il conviendra que cette bannière les fera fuir et de facto quitter leur éventuelle navigation de votre site.

    Pour remédier à « lynchage » de votre site par Google, il suffira de rajouter un certificat SSL. Ce certificat SSL aura deux effets immédiats :

    1. Rassurer aux visiteurs que votre site est bien celui qu’il prétend être.
    2. Crypte leur données telles que nom, courriel, mots de passe, moyens de paiement etc.

    Nous avons plusieurs solutions à cet effet et la plus répandue et qui garantit des résultats à court, moyen et long termes est un certificat SSL de Comodo en ~15 minutes.

    https://www.sslpourtous.fr

    Vous trouverez la traduction française de notre video très bientôt et qui expliquera en détail le certificat SSL.

    Ce que nous proposons, c’est d’installer le certificat SSL pour vous ainsi que de remédier, voire  réversibilité en cas de problèmes.

    Dans le cas contraire, vos visiteurs prendront la fuite et leur business chez vos concurrents. Ce qu’il faut s’attendre c’est que Google sera très méthodique en matière de référencement (SEO) vu qu’il va privilégier les sites sécurisés à l’instar des sites en http et ceci à partir du Printemps 2018. Donc, il y a un risque que votre trafic prenne un coup.

    Il est bien entendu que vous perdrez votre classement dans les résultats de recherche, votre positionnement, visibilité et en fin de compte de l’argent, merci de nous contacter rapidement.

    Il va de soi que notre équipe est tout à fait compétente et expérimentée et  tout à fait capable de régler les problèmes systèmes et réseaux en entreprise car nous sommes sur le domaine Internet depuis 1996.

    Maintenant que nous contrôlons le HTTPS de votre site Internet, voyons ce que le RGPD (Règlement Général Européen pour la Protection des Données Personnelles) va changer pour nous et ceci avant la date butoir du  Mai, 2018.

    -233Jours 00Heures -55Minutes -42Secondes

    Ce nouveau règlement s’appliquera à toutes les sociétés traitant des données personnelles de leurs utilisateurs au sein de l’Union Européenne. Le RGPD impose aux entreprises une obligation de transparence, c’est-à-dire qu’elles doivent informer leurs clients du traitement de leurs données (quelles données sont utilisées et stockées et pour quelle finalité). La « finalité » étant la raison pour laquelle l’organisation collecte ces données et ce pour quoi elle va utiliser ces données.

    Mais les sociétés traitant des données personnelles de leurs utilisateurs au sein de l’Union Européenne seront aussi obligées de recueillir leur consentement pour les différentes utilisations qui en seraient faites. les droits des personnes propriétaire des données,

    • L’obligation de désigner un DPO, Interne ou Externe,
    • L’obligation de tenue du registre des traitements,
    • Apporter la preuve du respect des exigences,
    • Responsabilisation des sous-traitants,
    • Des amendes jusqu’à 20 millions d’euros ou 4% du CA mondial,
    • Analyses d’impact obligatoires,
    • Notification des failles de sécurité

     

    Le RGPD permet donc aux citoyens européens de reprendre la main sur leurs données personnelles, notamment vis-à-vis des acteurs économiques de l’Internet. Il renforce leurs droits et facilite l’exercice de ceux-ci. Nous n’allons pas parler des répressions prévues par cette loi.

    NB: Cette directive s’applique aussi aux sociétés non Européennes qui traitent les données des citoyens Européens. Tout le monde est concerné. Toutes les entreprises, collectivités, associations, etc., quelle que soit leur taille, ont l’obligation de se mettre en conformité au RGPD.

    Nous souhaitons vous signaler que nous mettons l’emphase sur le RGPD de façon pédagogique à l’instar de certaines agences qui prônent la répression.

    Les grands principes du RGPD :

    La RGPD responsabilise les entreprises et renforce les droits des personnes :

    1. “Privacy By Design”

    Lors de la conception ou du développement du SI interne, des produits ou services fournis aux tiers : intégration de la protection des données.

    • Mesures techniques
    • Méthodologies dans les process métier.
    1. “Privacy By Default”
      • Lors du traitement :
      • Résultat de la mise en place de mesures techniques et organisationnelles : par défaut, seules les données à caractère personnel nécessaires au regard de chaque finalité spécifique du traitement sont traitées.
    2. “Accountability”
      • Le RGPD a responsabilisé les entreprises traitant des DCP
      • Mise en place de méthodologies et de procédures internes permettant de démontrer le respect des règles relatives à la protection des DCP (outils : registres, certification, codes de conduite)
    3. Sécurité renforcée
      • Moyens pour garantir confidentialité, intégrité, disponibilité et résilience constantes des SI et services,
      • Moyens pour garantir la disponibilité des données et l’accès “dans des délais appropriés”,
      • Procédures de test, d’analyse et d’évaluation de l’efficacité des

    mesures techniques et org.

    1. des violations
    • Notification à la CNIL des violations de DCP (accès, alteration,destruction…) dans le délai maximum de 72H. Sauf si la violation n’est pas “susceptible d’engendrer un risque pour les droits et libertés…”
      + “dans les meilleurs délais” aux personnes si “risque élevé pour les droits et libertés”.
    1. Plus de transparence
    • Données collectées auprès de la personne :
    • identité du RT et du DPO, finalité(s), base(s) juridique(s), destinataires, durée, exercice des droits, faculté de réclamation, caractère réglementaire ou contractuel
    • + le cas échéant : intérêt légitime, flux hors UE, droit de retirer le consentement, décision automatisée.
    1. Consentement éclairé
    • Le RT doit être “en mesure de démontrer” le consentement
    • A partir d’une “demande de consentement” “claire et simple” sous une forme “compréhensible et aisément accessible”.
    • Nouveau : droit de retirer son consentement à tout moment.
    • Règles spécifique pour l’accès des mineurs aux services en ligne.
    1. Droits des personnes
    • Objectif : rendre plus effective la maîtrise de ses données par la personne intéressée elle-même.
    • Outre les droits d’accès, de rectification et d’opposition au traitement, le RGPD conforte le « droit à l’oubli » (effacement déréférencement…) et institue un nouveau droit, le droit à la portabilité

    Selon l’Article 37(1) du RGPD un DPO doit être nommé. Le “Data Protection Officer” – DPO. Un expert de la protection des données personnelles

    Le DPO, qui devra justifier de compétences en matière juridique ainsi que d’une expérience en matière de protection des données, sera obligatoire :

    • Dans le secteur public,
    • Si le traitement exige “un suivi régulier et systématique à grande échelle des personnes »,
    • S’il s’agit d’un « traitement à grande échelle » de données sensibles.
    • Le DPO est optionnel, mais souvent indispensable, dans les autres cas.
    • Le DPO externe
    • Certified Internet Solutions, s’appuyant sur son expérience ainsi que sur l’outil de gouvernance des données à caractère personnel APM (Actecil Privacy Manager), proposera, à partir du 25 mai 2018, aux entreprises ne disposant pas de DPO en interne, une désignation en tant que DPO externe.

    Les 6 étapes de la mise en conformité au RGPD selon la CNIL

    1. Désigner un pilote, un « chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne ». Par hypothèse, la personne qui sera désignée délégué à la protection des données (DPO).
    2. Cartographier les traitements de données. Pas de mesure concrète de l’impact du RGPD sur les données traitées sans recensement précis des traitements. Utiliser le registre existant (CIL) ou créer un registre.
    • Prioriser les actions à mener. Sur la base du registre, identifier les actions à mener pour se conformer aux obligations actuelles et à venir. Prioriser ces actions au regard des risques sur les droits des personnes concernées.
    1. Gérer les risques. Si des traitements de DCP susceptibles d’engendrer des « risques élevés pour les droits et libertés des personnes intéressées » ont été identifiés, obligation de mener, pour chaque traitement concerné, une analyse d’impact (EIVP ou PIA).
    2. Organiser les processus internes. Mise en place des procédures internes qui garantissent la protection des données à tout moment, en prenant en compte à l’avance l’ensemble des événements qui peuvent survenir.
    3. Documenter. Pour prouver la conformité au règlement, il est nécessaire de constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement.
    4. Échange et protection de données à caractère personnel à l’ère de la mondialisation pour des multinationales. Le GDPR/RGPD s’applique à toute personne morale opérant en Europe : https://cisware.com/wp244rev01_fr.pdf
    1. Attention: l’Age des personnes mineures doit être vérifié.
    • Le RGPD prévoit qu’il est nécessaire de recueillir le consentement ou l’autorisation « du titulaire de la responsabilité parentale » pour les enfants âgés de moins de 16 ans (cet âge limite pouvant être abaissé à 13 ans dans certains Etats) amenés à transmettre leurs données personnelles dans le cadre de la fourniture de services en ligne (inscription sur un réseau social par exemple).
    1. Ditto pour le traitement des données
    • Le retrait du consentement
      • Le consentement doit pouvoir être retiré simplement à tout moment étant précisé que ce retrait n’aura pas pour effet de compromettre la licéité du traitement qui serait fondé sur le consentement avant ledit retrait.
      • La personne concernée doit être informée de cette faculté de retrait avant de donner son consentement.

    Documents

    13 févr. 2018 – Que sont les autorités de protection des données (APD)?

    ec.europa.eu/info/…/what-are-data-protection-authorities-dpas_fr

    07 févr. 2018 – Réforme des règles de l’UE en matière de protection des données…

    ec.europa.eu/commission/…/2018-reform-eu-data-protection-rules_fr

    13 févr. 2018 – À quoi correspondent les données à caractère personnel?

    ec.europa.eu/info/law/law-topic/…/what-personal-data_fr

    Comme tout professionnel, privé ou public, nous – Certified Internet Solutions – entreprenons notre projet de mise en conformité avec le RGDP afin d’être prêts le 25 mai 2018, date d’application du règlement européen.

    Ce faisant, nous souhaitons vous faire bénéficier de notre retour d’expérience assortie d’une offre de services dans le but de vous accompagner de façon pragmatique et progressive dans la prise en compte du RGPD.

    Nous contacter

    Vous souhaitez en savoir plus sur notre offre de services RGPD ?

    Vous avez un besoin d’accompagnement sur-mesure ?

    N’hésitez pas à nous en parler.

     

    Office Of The President: [email protected]

     

     

    http://www.cisware.com