Your new post is loading...
Your new post is loading...
La cyber-menace est en voie de prendre des dimensions systémiques pour l'économie mondiale. L'inquiétude des acteurs monte, au point que l'on peut craindre une réaction globale contre la numérisation, avec un énorme impact économique. Pourtant, les avancées en matière de cloud computing et de Big data pourraient, selon McKinsey, créer entre 9600 et 21600 milliards de dollars de valeur pour l'économie mondiale. Si la sophistication des attaques submerge les capacités défensives des États et des organisations, on peut redouter des règlementations et des politiques qui ralentiraient l'innovation et la croissance.
Le vaste mouvement d’ouverture des données publiques (et plus généralement du Big data) provoque la mise en ligne publique de volumes toujours plus importants de données. On sait qu’un des obstacles légaux de cette ouverture est le respect des données à caractère personnel, afin de ne pas empiéter sur la vie privée ou nuire à l’image des personnes, en d’autres termes à leur e-réputation (cyber-réputation, web-réputation ou réputation numérique).
Lundi 7 avril une faille de sécurité à été découverte dans certaines versions du logiciel OpenSSL, sur lequel s’appuie une grande partie de la sécurité du Web. L’article 34 de la loi Informatique et Libertés impose une obligation de sécurisation des données à caractère personnel. La CNIL fait le point sur les conséquences de cette faille et les actions à mettre en œuvre.
Depuis le début de la semaine, le petit monde de la sécurité est affolé par une faille : Heartbleed. Nous vous en avions parlé en détail par ici, ou de manière plus simple par là, mais l'ampleur des dégâts ne semble pas encore être perçue de manière claire. Alors que tout le monde se focalise sur les géants du net grâce à un article de Mashable, vous devez en fait surtout vous méfier de ceux qui ne disent rien et qui constituent le gros des troupes.
Alors que la loi du 17 mars 2014 relative à la consommation vient d'être publiée au Journal officiel, la Commission nationale de l'informatique et des libertés (CNIL) signale un renforcement de son pouvoir d'investigation. En effet, le contrôle des conditions dans lesquelles les fichiers sont crées et utilisés fait partie des nombreuses prérogatives de la CNIL. Cependant, les modalités de ce contrôle était jusqu'à présent limitées. Ainsi, la loi Informatique et libertés du 6 janvier 1978 donnait à la Commission le pouvoir de procéder à : - des contrôles sur place, au cours desquels la délégation de la CNIL a accès aux matériels (serveurs, ordinateurs, applications...) ou sont stockés les fichiers ;
- des contrôles sur pièce, qui permettent d'obtenir la communication de documents ou de fichiers sur une demande écrite ;
- des contrôles sur audition, grâce auxquels la Commission peut convoquer dans ses locaux les personnes qui mettent en oeuvre un fichier ou leurs représentants aux fins d'obtention de tout renseignements utiles.
La CNIL prend la plume pour expliquer comment gérer ses mots de passe et en créer qui soient « sûrs ». Pour cela, il recommande notamment l’utilisation du logiciel Keepass.
Le 15 janvier 2014, la Présidente de la CNIL a adopté une mise en demeure publique à l’encontre de la société HYPERCOSMOS exploitant un centre commercial sous l’enseigne E. LECLERC. Un contrôle sur place, consécutif à une plainte, a permis de constater que le centre commercial était équipé d’un système de vidéosurveillance des salariés disproportionné. De plus, le dispositif biométrique, mis en œuvre par la société à des fins de contrôle d’accès, servait aussi à contrôler les horaires des salariés.
Selon l'article 39 de la loi Informatique et Libertés : "chaque individu peut demander à un service ou une société de consulter les données qu'elle possède sur sa personne." Le professionnel dispose par la suite de deux mois pour répondre.
La Cnil a rendu son avis par une délibération du 19 décembre 2013. Elle l’a rendu publique, le 11 février 2014, à la demande du président de la Commission des lois de l'Assemblée nationale.
Les recommandations de la Cnil concernant l'utilisation de services permettant de stocker des données de manière sécurisée ont été publiées. L'utilisation du terme « coffre-fort électronique » est ainsi soumise à certaines conditions.
A l’occasion de la journée mondiale de la vie privée l’AFCDP (Association Française des Correspondants à la protection des Données à caractère Personnel) publie son Index annuel du droit d’accès. Au titre de la loi Informatique & Libertés, chacun peut exercer un droit d’accès à ses données personnelles. La veille de sa conférence annuelle et dans le cadre de sa participation à l’initiative « Education au Numérique, Grande cause nationale 2014 », l’AFCDP publie sa mesure de l’effectivité de ce droit. L’édition 2014 montre un net progrès.
La Cnil fournit aux entreprises différents outils et mêmes des bouts de codes pour qu'elles se mettent en conformité avec la directive européenne de 2009 sur les méthodes de traçage.
Vous savez comment font Edward Snowden, le "lanceur d'alertes" de la NSA, et Glenn Greenwald, le journaliste à qui il a confié des dizaines de milliers de documents classifiés, pour protéger, non seulement leur "vie privée", mais aussi tout (ou partie) de leurs (télé)communications, surfs sur le web, échanges Internet, alors qu'ils sont devenus les ennemis n°1 de la NSA ?
|
Les données sont une richesse. Les entreprises et les administrations s'en emparent pour personnaliser leurs produits ou leurs services.
Via Jean Chezaubernard
Il vous est peut-être déjà arrivé de communiquer votre adresse émail en effectuant des achats en ligne, en remplissant un formulaire ou en l’exposant sur votre site web, tout simplement. Peut-être avez-vous communiqué votre adresse de messagerie aux moteurs de recherche pour assurer le référencement de votre site ! Ces différentes actions peuvent entraîner la réception massive de spams dans votre boîte email, quel que soit le fournisseur. Et ce, même quand vous vous désabonnez de la liste de diffusion. Etre inscrit à des services de messagerie instantanée (comme Messenger, Yahoo ! Messenger, ICQ, Jabber, iChat, etc.) ou utiliser des logiciels P2P et autres programmes intrusifs y contribuent également.
Via Stephane Manhes
Près de 400 personnes ou organismes ont répondu au questionnaire en ligne de la CNIL sur l’open data et les données personnelles. Les résultats révèlent des interrogations persistantes et une demande forte pour des solutions pratiques, notamment en termes d’anonymisation. Les résultats complets sont mis à disposition librement sur data.gouv.fr
La SNCF a été autorisée à utiliser un outil d'évaluation des risques de fraude en ligne, par carte bancaire, utilisant des données nominatives de ses clients.
Les sites web des entreprises seront bientôt contrôlés à distance par la Cnil. Lorsqu'un manquement à la loi informatique et libertés sera détecté, un procès-verbal sera envoyé à l'organisme concerné sans que la Commission ne se déplace.
Le groupe des CNIL européennes (G29) a élaboré des règles contraignantes d’entreprise (Binding Corporate Rules dites « BCR ») pour encadrer les flux internationaux de données internes à une entreprise ou un groupe. Ces BCR constituent un code de conduite, définissant la politique d'une entreprise en matière de transferts de données. Les BCR permettent d'offrir une protection adéquate aux données transférées depuis l'Union européenne vers des pays tiers à l'Union européenne au sein d'une même entreprise ou d'un même groupe. Les États membres de la Coopération économique pour l'Asie-Pacifique (APEC) ont récemment développé un système de règles transfrontalières de protection de la vie privée, les Cross-Border Privacy Rules (CBPR). Celui-ci permet d'apporter des garanties aux transferts de données. Ces garanties reposent notamment sur une certification par des tiers certificateurs agréés par l'APEC. Le système européen des BCR et celui des CBPR sont basés sur des approches comparables. Dans les deux cas il s'agit pour des entreprises de développer des codes de conduite pour les transferts internationaux qui sont revus a priori par des autorités de protection des données européennes (pour les BCR) ou par des tiers agréés (pour les CBPR).
Prospection commerciale, achats en ligne, suivi des consommateurs, jeux-concours et parrainage : quel est le cadre légal ? Quels sont les pièges à éviter ? Quels sont les droits des consommateurs ?
La Cnil a été saisie le 5 décembre 2013 par le Gouvernement du projet de loi relatif à la géolocalisation (en matière judiciaire), sur le fondement de l'article 11-4°-a) de la loi du 6 janvier 1978 modifiée.
La CNIL a convoqué les opérateurs pour leur rappeler les règles de base, en cas de piratages informatiques ainsi que pour les éviter.
À l’occasion de la journée européenne de la protection des données, la CNIL met en ligne un espace d’information dédié à toutes les questions les plus fréquentes sur sa page officielle Facebook.
L’ouverture d’un site internet professionnel engendre de nombreuses obligations. La Cnil et le gouvernement sont particulièrement attentifs au respect de ces obligations afin d’éviter toutes dérives. Dynamique, vous rappelle les obligations qui sont transmises par la Cnil afin que dès l’ouverture de votre site professionnel vous soyez en conformité avec la loi.
Le régulateur des données personnelles s'est intéressé aux cookies et demande aux acteurs du web de demander la permission aux Internautes avant d'installer ces petits logiciels espions. La CNIL propose également un outil pour visualiser les informations récoltées par les cookies.
|
Interview d'Hervé Guillou / Conseiller Défense et sécurité, Groupe Airbus, Président, Conseil des Industries de Confiance et de Sécurité /