Archive dans 22 décembre 2020

De nouvelles sanctions de la CNIL pour défaut de notification par des médecins

Pour information, de nouvelles sanctions de la CNIL sont tombées la semaine dernière envers 2 médecins pour défaut de notification de violation de données : des amendes de 3 000 et 6 000 Euros. Les médecins n’ont pas compris car ils avaient été prévenus par la CNIL de cette brèche dans leur réseau. Cependant ils n’ont pas respecté l’obligation de notifier formellement la CNIL et donc de documenter cette violation de données personnelles sensibles. C’est pour cette raison qu’ils ont été sanctionnés.

https://www.cnil.fr/fr/violations-de-donnees-de-sante-la-cnil-sanctionne-deux-medecins

Le Conseil d’Etat confirme la sanction de la CNIL envers la SERGIC

Une fuite d’information due à une mauvaise sécurisation du site web de la SERGIC donnait libre accès aux fiches de paie, justificatifs d’identité etc.. des candidats au logement. La CNIL a prévenu la SERGIC qui n’a pas colmaté cette brèche une semaine plus tard. La CNIL a donc infligé une amende de 400 000 € et une publication de la sanction pendant 2 ans. Le Conseil d’Etat rejette l’appel de la SERGIC. Ce faisant, il confirme que « le prononcé d’une sanction par la formation restreinte de la CNIL n’est pas subordonné à l’intervention préalable d’une mise en demeure du responsable du traitement ou de son sous-traitant par le président de la CNIL. »

https://www.legifrance.gouv.fr/ceta/id/CETATEXT000042499856?isSuggest=true

La CNIL publie des questions-réponses concernant le télétravail

Voici quelques exemples de questions traitées mais vous trouverez l’intégralité des Q&R en suivant le lien de bas de page :

L’employeur peut-il contrôler l’activité des salariés en télétravail ?

Oui, si cela ne porte pas atteinte aux droits et libertés des salariés et en respectant certaines règles.

Le télétravail n’étant qu’une modalité d’organisation de travail, l’employeur conserve, au même titre que lorsque le travail est effectué sur site, le pouvoir d’encadrer et de contrôler l’exécution des tâches confiées à son salarié.

Néanmoins, si le pouvoir de contrôle de l’employeur est une contrepartie normale et inhérente au contrat de travail, les juridictions ont rappelé de manière constante que ce pouvoir ne saurait être exercé de manière excessive.

L’employeur doit donc toujours justifier que les dispositifs mis en œuvre sont strictement proportionnés à l’objectif poursuivi et ne portent pas atteinte excessive au respect des droits et libertés des salariés, particulièrement le droit au respect de leur vie privée….

L’employeur peut-il surveiller constamment ses salariés ?

Non.

Comme tout traitement de données personnelles, un système de contrôle du temps de travail ou d’activités, qu’il s’effectue à distance ou « sur site », doit notamment :

https://www.cnil.fr/fr/les-questions-reponses-de-la-cnil-sur-le-teletravail

La CNIL précise ses recommandations liées aux cookies et autres traceurs en ligne.

  • Concernant le consentement des utilisateurs :
    • la simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement de l’internaute ;
    • les personnes doivent consentir au dépôt de traceurs par un acte positif clair (comme le fait de cliquer sur « j’accepte » dans une bannière cookie). Si elles ne le font pas, aucun traceur non essentiel au fonctionnement du service ne pourra être déposé sur leur appareil.
  • Les utilisateurs devront être en mesure de retirer leur consentement, facilement, et à tout moment.
  • Refuser les traceurs doit être aussi aisé que de les accepter.
  • Concernant l’information des personnes : 
    • elles doivent clairement être informées des finalités des traceurs avant de consentir, ainsi que des conséquences qui s’attachent à une acceptation ou un refus de traceurs ;
    • elles doivent également être informées de l’identité de tous les acteurs utilisant des traceurs soumis au consentement.
  • Les organismes exploitant des traceurs doivent être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur.

Par ailleurs la CNIL recommande que l’interface de recueil du consentement ne comprenne pas seulement un bouton « tout accepter » mais aussi un bouton « tout refuser ». Et ce refus doit également être conservé de manière à ne pas solliciter le visiteur à chaque fois.

https://www.cnil.fr/fr/cookies-et-autres-traceurs-la-cnil-publie-des-lignes-directrices-modificatives-et-sa-recommandation

Quelques conseils de sécurité afin d’éviter bien des soucis…

En ces temps de propagation de virus et autres piratages en tous genres, il est utile de respecter quelques règles essentielles de prévention. Elles peuvent être classées en 3 grands types : des précautions dans l’usage des clients (portables, smartphone et autres PC/MAC…), des accès aux réseaux (internes ou Internet) et de politique de sauvegarde.

Pour ce qui est des postes clients, la première des précautions consiste à verrouiller les accès par un mot de passe robuste que l’on va changer périodiquement. Le mot de passe doit être suffisamment robuste (au moins 8 caractères avec chiffres et majuscules ainsi qu’un caractère particulier) et être unique, c’est à dire non utilisé pour d’autres accès. Pour vous aider, il existe des gestionnaires de mot de passe capables de stocker ces mots de passe et de vous aider à les générer (KeePass par exemple). Le compte utilisateur doit avoir des droits limités, il faut proscrire l’usage des droits « administrateur » pour un usage quotidien. 

Il faudra également penser à chiffrer les informations les plus sensibles afin de les protéger de toute divulgation en cas de vol. Il existe des logiciels comme « Veracrypt » capables de crypter tout ou partie de votre machine. Cela est également vrai d’un smartphone, qui en cas de vol va contenir des informations confidentielles.

Il est également essentiel de mettre à jour tous vos applicatifs et surtout vos systèmes d’exploitation. Les antivirus peuvent mener, pour certains d’entre eux, des analyses de vulnérabilité et recommander des mises à jour applicatifs. Dans tous les cas, le choix d’un antivirus est prépondérant. Certaines solutions (Crowdstrike, SentinelOne etc…) se focalisent notamment sur les « ransomwares » encore appelés « prise d’otage » ou « chantages » numériques.

Ils sont de plus en plus fréquents, le site de la CNIL stipule :

« Chantage numérique : comment s’en prémunir ?

  • Ne cliquez jamais sur les liens, ne téléchargez jamais de pièces jointes venant d’un expéditeur inconnu.
  • Choisissez des mots de passe robustes.
  • Pensez à faire des sauvegardes journalières sur un support externe déconnecté.
  • Effectuez vos mises à jour.
  • Sensibilisez votre entourage et vos collègues en vous appuyant sur les publications des experts. »

En second lieu, il faut protéger les accès aux réseaux et compartimenter le réseau local. Les Pare-feux de nouvelles générations sont capables de faire du filtrage applicatif. Une fois installés, ils pourront sécuriser les accès vers internet. On pourra alors utilement interdire la visite des sites web jugés « dangereux » ainsi que l’utilisation d’applications tels que le transfert de fichiers par BitTorrent ou même l’accès au Darkweb.

Dans la période actuelle, le télétravail est préconisé, Il est nécessaire de sécuriser les connexions à distance par le biais de tunnels virtuels chiffrés (VPN). Ces firewalls intègrent généralement la gestion des accès distants par VPN. L’ouverture de ports afin d’utiliser la Connexion « Bureau à Distance » ou « RDP » sans VPN est en effet à proscrire. Trop de PME ont vu leur activité perturbée par des actes malveillants utilisant ces ouvertures de ports RDP. Les hackers en profitent généralement pour s’infiltrer à distance sur les réseaux internes et « casser » les serveurs par jeu voire, de plus en plus, en les chiffrant et en demandant une rançon.

Ces Pare-feux pourront également utilement servir à isoler les différents services et ainsi éviter que les employés de la comptabilité aient accès aux données des Ressources Humaines par exemple. Cette isolation des données est d’ailleurs requise par la réglementation sur la protection des données personnelles.

En dernier lieu, il convient de prendre en compte la politique de sauvegarde dans son plan de Cybersécurité. La règle de 3,2,1 est préconisée : 3 sauvegardes sur 2 systèmes de sauvegarde différents et 1 totalement déconnectée des réseaux. On peut imaginer 1 sauvegarde en ligne sous forme chiffrée afin de la protéger en cas de vol, 1 sauvegarde locale et 1 dernière sur support amovible qui sera stockée en dehors des locaux ou dans un coffre-fort ignifugé.

Il faudra également se préparer à réagir en cas de crise avec un plan adhoc et une équipe désignée par avance afin de parer rapidement à la menace. La majorité des intrusions ont comme source l’utilisateur final qui par mégarde va cliquer sur un « mauvais » lien ou lancer une macro malveillante. La prévention par le biais de l’éducation des utilisateurs ainsi que les campagnes de test sont indispensables.

Coronavirus (COVID-19) : les rappels de la CNIL sur la collecte de données personnelles par les employeurs

Dans le contexte de crise sanitaire liée au coronavirus, particulièrement dans la perspective d’une phase de « déconfinement », particuliers et professionnels s’interrogent sur les mesures à mettre en œuvre aux fins de limiter la propagation du virus et d’assurer en toute sécurité la reprise de l’activité, ainsi que sur les conditions dans lesquelles les données personnelles, notamment de santé, peuvent être utilisées. La CNIL rappelle certains principes.

https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles-par-les

L’avis de la CNIL sur STOPCOVID

Voici un résumé des 11 pages de l’avis de la CNIL sur le projet d’application STOPCOVID du gouvernement français : il est globalement positif sous certaines conditions.

« Délibération n° 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée « StopCovid »

Il ne s’agit pas de tracer les individus de façon continue. Néanmoins, il s’agit d’établir, par la collecte de traces pseudonymes, la liste des personnes dont chaque porteur de l’application a été physiquement proche, pendant une durée circonscrite, parmi tous les porteurs de l’application.

La protection de la vie privée est garantie par la Constitution et d’autres sources de droit ; le fait de collecter les listes de personnes que les individus ont fréquentées y porte une atteinte forte, qui ne peut, le cas échéant, être justifiée que la nécessité de répondre à un autre principe constitutionnel, à savoir la protection de la santé, qui découle du onzième alinéa du préambule de la Constitution de 1946 (…)

(…) En premier lieu, il faut souligner qu’afin de pouvoir informer un utilisateur d’une exposition possible au virus, le serveur central doit vérifier s’il existe une concordance entre les pseudonymes attribués, lors de son installation, à l’application de cet utilisateur et ceux ayant été transmis au serveur central par l’application d’une autre personne reconnue comme positive. Il en résulte que demeure un lien entre les pseudonymes et les applications téléchargées, chaque application étant elle-même installée sur un terminal, qui correspond généralement à une personne physique déterminée. Du fait de ce lien, la Commission estime que le dispositif traitera des données à caractère personnel au sens du RGPD.

En deuxième lieu, le serveur central disposerait de l’information selon laquelle un utilisateur aura ou non reçu une notification lui indiquant qu’il a été exposé au virus. La Commission relève que toute l’architecture du dispositif envisagée tend à ne faire remonter au serveur central que les pseudonymes générés par les applications associées aux personnes avec lesquelles un individu infecté a été en contact, et non le pseudonyme de ce dernier. Elle souligne que ce procédé minimise le risque de réidentification de la personne infectée à l’origine d’une alerte, dans le plein respect des principes de protection des données personnelles. (…)

Néanmoins, la Commission rappelle que la présence de données à caractère personnel ne fait pas obstacle, par principe, à la mise en oeuvre du dispositif. Elle impose cependant de prévoir des garanties adaptées d’autant plus fortes que les technologies sont intrusives, garanties au titre desquelles l’atténuation des possibilités de ré-identification constitue une mesure essentielle.

Un dispositif fondé sur le volontariat

Une finalité limitée à l’alerte de personnes exposées au risque de contamination

(…) L’objectif de « suivi de contacts » poursuivi par le dispositif consiste à pouvoir informer un utilisateur de l’application que son téléphone (ou autre équipement mobile) s’est trouvé à proximité, au cours des jours précédents, de celui d’une personne ayant ultérieurement été diagnostiquée positive au COVID-19, de sorte qu’il existe un risque qu’il ait été contaminé à son tour.

A cet égard, il convient de souligner que le volontariat ne doit pas uniquement se traduire par le choix, pour l’utilisateur, de télécharger puis de mettre en oeuvre l’application (installation de l’application, activation de la communication par Bluetooth, voire fait de se déclarer positif au COVID-19 dans l’application) ou la faculté de la désinstaller. Le volontariat signifie aussi qu’aucune conséquence négative n’est attachée à l’absence de téléchargement ou d’utilisation de l’application. Les institutions publiques ou les employeurs ou toute autre personne ne devraient pas subordonner certains droits ou accès à l’utilisation de cette application.(….)

En l’espèce, le gouvernement s’interroge sur la possibilité de fonder l’application StopCovid sur la base légale du consentement de ses utilisateurs ou, à défaut, sur l’existence d’une mission d’intérêt public de lutte contre l’épidémie de COVID-19.

A titre liminaire, la Commission rappelle qu’un usage volontaire de l’application est compatible en droit avec l’une ou l’autre de ces « bases légales ».

En conséquence, elle estime que la mission d’intérêt public, au sens des articles 6.1.e) du RGPD et 5.5° de la loi « Informatique et Libertés », constitue la base légale la plus appropriée pour le développement par l’autorité publique de l’application StopCovid. (…)

L’admissibilité de l’atteinte à la vie privée par un dispositif de suivi de contacts

(…) D’une part, le respect du principe de proportionnalité se traduira notamment par une collecte et une conservation des données limitées à ce qui est strictement nécessaire, afin de minimiser l’atteinte portée à la vie privée des personnes. Cette garantie fondamentale implique en l’espèce que la collecte et le traitement de données opérés par l’application revêtent un caractère temporaire, d’une durée limitée à celle de l’utilité du dispositif au regard des finalités précédemment décrites. Elle implique également que toutes les données soient supprimées dès le moment où l’utilité de l’application ne sera plus avérée. Dans l’hypothèse où une exploitation statistique ou à des fins de recherche scientifique se révélerait néanmoins nécessaire, celle-ci devra être réalisée en priorité sur des données anonymisées ou, à défaut, dans le strict respect des règles fixées par le RGPD et la loi « Informatique et Libertés ».

En premier lieu, son efficacité dépend de certaines conditions techniques, notamment la possibilité pour une proportion suffisante de la population d’accéder à l’application et de l’utiliser dans de bonnes conditions. Cela signifie notamment qu’il serait souhaitable que cette application soit disponible sur suffisamment de magasins d’applications mobiles (« appstores », « playstore », etc.) et compatible avec la majorité des téléphones et autres équipements mobiles actuellement en circulation, tant d’un point de vue matériel que logiciel.(…)

(…) En quatrième lieu, un dispositif numérique de suivi individualisé des personnes ne peut être mis en place qu’à titre de mesure complémentaire dans le cadre d’une réponse sanitaire globale. (…)

(…) Enfin, elle recommande que l’impact du dispositif sur la stratégie sanitaire globale soit étudié et documenté de manière régulière, afin que l’efficacité de celui-ci au cours du temps puisse être évaluée. Cela permettra aux pouvoirs publics de décider de manière éclairée son maintien ou non au regard, notamment, des principes de proportionnalité et de nécessité. La Commission recommande que ces analyses lui soient, le cas échéant, communiquées, afin de lui permettre d’exercer sa mission de contrôle de la conformité de la mise en oeuvre du dispositif projeté. (…)

(….) Sur la nécessité de réaliser une analyse d’impact sur la protection des données

La Commission attire l’attention du gouvernement sur le fait que, comme tout traitement susceptible de présenter des risques élevés (données de santé, usage à grande échelle, suivi systématique, utilisation d’une nouvelle solution technologique), une analyse d’impact sur la protection des données (AIPD) devra être réalisée avant toute mise en œuvre d’un tel dispositif. La publication de l’AIPD est recommandée à des fins de transparence et au regard du contexte actuel. (…)

(…) Sur la sécurité :

 En premier lieu, la Commission relève que le dispositif envisagé comprend un serveur chargé de la centralisation des identifiants des personnes exposées. Afin d’apporter les garanties les plus élevées possibles contre tout détournement de finalité lié à ce choix, elle estime nécessaire que des mesures de sécurité organisationnelles et techniques de très haut niveau soient mises en place, en accord avec un modèle de sécurité adapté prenant en compte tout acte malveillant

En deuxième lieu, la Commission estime nécessaire que des mesures soient mises en oeuvre à la fois dans le serveur central et dans l’application pour éviter de pouvoir recréer un lien entre ces pseudonymes temporaires et des informations spécifiques au terminal liées à la technologie Bluetooth (comme le nom de l’équipement mobile ou son adresse MAC) permettant d’identifier les utilisateurs.

En troisième lieu, la Commission rappelle que seuls des algorithmes cryptographiques à l’état de l’art doivent être mis en oeuvre, afin d’assurer l’intégrité et la confidentialité des échanges. Elle relève à cet égard l’usage de l’algorithme 3DES, envisagé à ce stade, et attire l’attention du ministère sur le fait que conformément au référentiel général de sécurité édité par l’Agence nationale de la sécurité des systèmes d’information cet algorithme ne devrait en principe plus être utilisé. (…)

(…) Par ailleurs, la Commission accueille favorablement le fait que des éléments de documentation technique ont déjà été rendus publics. Elle souligne à cet égard l’importance d’assurer le libre accès aux protocoles utilisés ainsi qu’au code source de l’application, du serveur central et leur paramétrage. Il s’agit tant de permettre à la communauté scientifique de contribuer à l’amélioration constante du dispositif et à la correction des éventuelles vulnérabilités que de garantir une parfaite transparence vis-à-vis de l’ensemble des citoyens. Elle recommande par ailleurs, afin de maximiser la qualité de la solution, que les commentaires et débats de la communauté scientifique soient pris en compte.

Sur le respect des droits des personnes sur leurs données à caractère personnel

La maitrise de leurs données par les personnes concernées est une garantie essentielle pour garantir la confiance du public dans les mesures prises aux fins de gestion de la crise du COVID-19. Une information appropriée devra donc être fournie aux utilisateurs, dans le respect des articles 12 à 14 du RGPD. Dans la mesure où une partie importante de la population est susceptible d’être concernée par le dispositif, la Commission insiste notamment sur la nécessité de délivrer une information compréhensible par le plus grand nombre, dans des termes clairs et simples.

La Commission rappelle que des situations telles que l’épidémie actuelle de COVID- 19 ne suspendent ni ne restreignent, par principe, la possibilité pour les personnes concernées d’exercer leurs droits sur leurs données à caractère personnel conformément aux dispositions des articles 12 à 22 du RGPD. »

RGPD vs CCPA quelles différences ?

Il y a une différence de fonds entre l’Europe et les Etats-Unis sur ce que doit être la protection des données personnelles. L’Union Européenne protège globalement les personnes contre les abus alors que les Etats-Unis protègent contre l’exploitation commerciale des données. Si on résume les différences entre ces 2 textes (l’un de 21 pages et l’autre de plus de 85 en anglais), on peut les regrouper en 3 catégories : les personnes couvertes, les organisations concernées, les droits et les sanctions encourues.

1- Le « California Consumer Privacy Act » (CCPA) se focalise sur les « consumers » Californiens ce qui pourrait laisser à penser : « consommateurs résidents en Californie » et non pas, comme le RGPD, tous les résidents de l’Union Européenne. Cependant, la définition du « consumer » étant : « a natural person who is a California resident ». Le CCPA s’applique donc concrètement à tous les résidents Californiens, étant sous-entendu que tout individu est un consommateur potentiel. Ce texte se concentre en revanche sur les « businesses » donc sur le terrain commercial.

2- Alors que les organisations concernées par le RGPD sont toutes celles qui traitent des données personnelles en masse. Il s’agit des entreprises mais également toutes les administrations ou associations. Dans le cas de la Californie, le CCPA parle de « Businesses » donc d’entités commerciales qui réalisent au moins 1 des 3 conditions suivantes dans l’état de Californie: A/ réalise plus de 25 millions de dollars de chiffre d’affaires ; B/ traite des données personnelles à usage commercial de plus de 50 000 consommateurs, ménages ou périphériques ; C/ réalise plus de 50% de son revenu annuel de la vente de données personnelles de consommateurs ;

3- Les sanctions encourues sont également différentes. Le RGPD impose une sanction maximale de 4% du chiffre d’affaires mondial ou 20 Millions d’euros. Le CCPA n’émet pas de sanction maximale mais édicte des valeurs par violation : entre $2 500 et $7 500 selon que la violation soit volontaire ou involontaire. Ainsi selon certains experts américains de l’IAPP, l’amende que Facebook aurait pu subir suite au scandale « Cambridge Analytica » serait de $61,5 milliards (24,6 millions de clients Californiens multiplié par $2 500). De plus, le CCPA précise que les consommateurs peuvent également poursuivre les contrevenants sous certaines conditions.

Là où l’Europe est très large dans son champ d’application de la réglementation, l’état de Californie ne cible que les abus des entreprises commerciales sur les consommateurs. Si demain une organisation religieuse ou politique se mettait à traiter illégalement des données issues des réseaux sociaux, serait-elle concernée par le CCPA ?

La CNIL publie son registre des traitements

On ne pouvait faire plus transparent : en publiant son registre des traitements la CNIL montre l’exemple, même si aucun texte n’exige l’obligation de rendre public cette documentation.

Si vous voulez vous inspirer de ce document vous le trouverez sur le site web de la CNIL : https://www.cnil.fr/fr/la-cnil-publie-son-registre-rgpd