L'équipe d'InterHop vous souhaite une belle année 2021!
La FAQ d'InterHop
Bonjour,
C’est pour répondre aux questions que tu te poses sur le RGPD que nous avons voulu créer cette FAQ.
Nous avons d’ailleurs beaucoup appris en la construisant.
Tu as accès à notre FAQ 24h/24 et 7j/7. Elle est libre.
La FAQ, l'équipe d'InterHop l'a voulue dynamique, c'est-à-dire que tu entreras ta question, tes mots clés, pour arriver sur la page sur laquelle tu trouveras la réponse.
N’hésite pas à nous poser, par mail (dpd@interhop.org), les questions auxquelles tu n’auras pas trouver de réponse dans la FAQ. Tu nous aideras à l'enrichir.
Nous voulons faire des réponses simples et concises. Tu peux nous tirer les oreilles si nous sommes trop techniques à ton goût, ça nous permettra de nous réajuster.
En fait, notre but c’est de te rendre autonome dans la mise en œuvre de bonnes pratiques concernant le RGPD.
-
Notre FAQ est libre, ça veut dire tu peux y avoir accès sans don. Cependant, je dois t'avouer que tu nous aides en participant par le biais d'un don (même petit). Le don nous aide à continuer à développer des outils sécurisés.
-
Tu peux aussi vouloir faire une veille, poser une question pour t'aider à comprendre et à appliquer le RGPD dans ta structure, bref ! Allez plus loin. Alors InterHop met à ta disposition les ressources nécessaires (juriste, ingénieurs, informaticiens, DPO…). Si besoin, nous sollicitons l’autorité de contrôle pour t'aider et poser la bonne question. Dans tous les cas, tu obtiens une réponse écrite entre 24 et 72 heures.
Dans ce cas là, on estime notre travail de recherche à 50 euros par question (recherches, échanges en équipe, lien avec toi, suivi...).
- Si tu veux qu'on t'aide à appliquer, on remplira ensemble un cahier des charges pour répondre réellement à ta demande et te satisfaire. On établira un devis en adéquation avec la mission que tu veux nous confier.
Dans tous les cas, j’espère que notre FAQ fera ton bonheur :)
À bientôt,
L'équipe d'InterHop
Le RGPD, c’est le Règlement Général sur la Protection des Données. En fait c'est une loi européenne appliquée depuis le 25 mai 2018. Le RGPD change les règles pour les entreprises et les administrations qui gèrent des données personnelles. Il sert à encadrer la manière dont ces entreprises et ces administrations vont utiliser les données personnelles qu'elles collectent.
Le RGPD, c’est aussi la réglementation qui redonne, aux résidents européens, le contrôle de leurs données personnelles quant à leur traitement et à leur circulation.
Il reprend des principes déjà existants dans la loi française, loi Informatique et Libertés (LIL).
Les changements pour la personne :
• L'âge du consentement du mineur pour le traitement de ses données personnelles. La France a décidé que ce serait 15 ans (par exemple : avant 15 ans, le mineur doit avoir le consentement de ses parents pour s'inscrire sur un réseau social);
• Le droit à la portabilité des données : si j'utilise un service, je dois pouvoir récupérer toutes mes données collectées par ce service et les transférer à un autre service (par exemple : récupérer mes données d'un service bancaire pour les transférer à un autre service bancaire);
• Les conditions d'utilisation : les structures doivent avoir des conditions d'utilisation, des règles du jeu claires et concises qui encadrent les pratiques de la manière dont elles utilisent les données personnelles qu'elles collectent.
Les changements pour les entreprises et les administrations :
Les entreprises et les administrations doivent être en capacité de prouver que toutes les données personnelles qu'elles collectent sont recueillies légalement, qu'elles ont eu le consentement de l'utilisateur, et qu'elles les conservent bien sécurisées. C'est un tas de précautions et de pratiques qui n'existaient pas avant qu'elles doivent s'approprier et mettre en oeuvre.
Pour conclure, le but du RGPD, c'est d'encadrer la manière dont nos données sont exploitées. C'est un pan majeur de l'économie (numérique) quel que soit le secteur.
Les structures qui ne sont pas conformes au RGPD peuvent être sanctionnées. C'est en grande partie ce qui donne du poids au RGPD.
Tags : rgpd législation
Mon avis de DPD/DPO
À mon sens, le RGPD est une opportunité.
Pourquoi ?
D'abord parce qu'il était grand temps de se protéger, de créer un cadre juridique unifié au sein de l'Europe pour faire face aux enjeux que représentent le traitement des données à caractère personnel. La démarche est, à mon sens, plutôt responsable.
Ensuite, parce que le RGPD est l’occasion de rétablir la confiance en imposant plus de transparence.
Enfin, et pour conclure, parce que l’Europe a su montrer l’exemple, ce qui peut stimuler le reste du monde, voire l'aider à opter pour de nouvelles pratiques plus respectueuses de la personne.
L’Analyse d'Impact relative à la Protection des Données ou AIPD (article 35 et 36 du RGPD) est une démarche de prévention des risques réalisée sur un traitement de données à caractère personnel.
Elle responsabilise les différents acteurs et les amène à construire un traitement des données à caractère personnel conforme au RGPD, donc respectueux de la vie privée de la personne.
L’étude est obligatoire quand le traitement de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées (voir l’article 35 paragraphe 1 du RGPD).
La CNIL a publié une liste de 14 traitements soumis à analyse d’impact,
La liste montre que les traitements de données de santé, de données concernant les ressources humaines, les assurances, les logements sociaux, la géolocalisation à grande échelle sont concernés par l’obligation de réalisation d’analyse d’impact. La liste montre aussi que les établissements médico-sociaux devront systématiquement effectuer une analyse d’impact sur leurs traitements, tout particulièrement quand les personnes concernées sont des personnes dites vulnérables (enfants, personnes âgées, patients par exemple).
Par ailleurs, la CNIL a aussi publié une liste de 12 traitements non soumis à l'analyse d'impact.
Attention !
Une structure est passible d’une sanction pouvant atteindre les 10 millions d’euros ou les 2% du chiffre d’affaires mondial globalisé dans les cas suivants :
- la structure ne réalise pas l'AIPD quand nécessaire,
- l'AIPD n'est pas correctement réalisée,
- la structure ne consulte pas l'autorité de contrôle après une AIPD montrant des risques significatifs.
À noter : analyse d’impact relative à la protection des données, AIPD (Data Protection Impact Assessment, terme retenu dans le RGPD) et PIA (Privacy Impact Assessment, terme plus commun utilisé dans d’autres régions du monde) sont synonymes.
tags : aipd impact rgpd
Source :
https://www.cnil.fr
https://www.cnil.fr/fr/reglement-europeen-protection-donnees
https://afcdp.net/
Mon avis de DPD/DPO
Pour réaliser l'AIPD :
- Appuyez-vous sur la liste de 14 traitements soumis à l'AIPD et sur la liste de 12 traitements non soumis à l'AIPD pour faire le choix de la réaliser ou non,
- Sollicitez l'avis des différents acteurs professionnels. Vous apprendrez plus vite !
- Sollicitez l'avis des personnes concernées,
- Réalisez une AIPD en cas de doute,
- Utilisez l'outil conçu par la CNIL,
- Utilisez l'outil conçu par la CNIL et enrichissez-le de modules ou adaptez-le à votre secteur si besoin, il est open source,
- Apprivoisez la démarche en pratiquant,
- Opérez une veille pour actualiser vos pratiques suite aux décisions et aux positions adoptées par les autorités de protection des données européennes et le Comité européen de la protection des données.
L'AIPD vous aidera à vous poser les bonnes questions. Vous évoluerez en évaluant :-). Elle vous aidera à mettre en oeuvre votre veille. De fait, elle vous motivera et renforcera la responsabilisation des équipes en prenant conscience des risques encourus ainsi que la confiance des personnes concernées.
Globalement l'AIPD vous accompagne dans l'amélioration de la gestion des risques au sein de votre structure. Alors, n'en faites pas l'impasse, de plus au risque d'être sanctionné.
Prévu à l'article 30 du Règlement Général pour la Protection des données ou RGPD, le registre des activités de traitement nourrit la 6ème étape de la mise en conformité au RGPD : il documente la conformité.
Le registre est un outil interne qui recense les traitements des données effectués et qui aide au pilotage de votre structure.
Il se présente sous la forme d’un document dans lequel vous identifiez les intervenants dans le traitement, les catégories de données traitées, les personnes susceptibles d’accéder aux données, les personnes auxquelles elles sont communiquées, la durée de conservation et les modalités de sécurisation des données.
tags : registre rgpd
Sources : https://www.cnil.fr
Mon avis de DPD/DPO
La CNIL recommande de tenir 2 registres. Le premier pour les traitements de données personnelles en tant que responsable de traitement et le second en tant que sous-traitants.
Je conseille l'ouverture d'un troisième registre pour les notifications de violations de données à caractère personnel à la CNIL.
À mon sens, le registre n'est pas à négliger, il permet d'améliorer votre gestion des risques et la qualité de vos services.
L'organisme, l'entreprise se met en conformité en 6 étapes
Étape 1. Désigner un pilote
Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d'un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données ou DPD que l'on nomme aussi Data Protection Officer ou DPO.
Étape 2. Cartographier vos traitements de données personnelles
Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles.
L'élaboration du registre des traitements vous permet de faire le point.
Étape 3. Prioriser les actions à mener
Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.
Étape 4. Gérer les risques
Si vous avez identifié des traitements de données personnelles susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une Analyse d'Impact relative à la Protection des Données (AIPD).
Étape 5. Organiser les processus internes
Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire).
Étape 6. Documenter la conformité
Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.
Mon avis de DPD/DPO
De mon point de vue, la constitution d'un comité de pilotage qui se réunit selon un rythme choisi favorise l'engagement des divers acteurs et facilite la démarche (meilleure gestion du temps, efficacité...).
Par ailleurs, pour prioriser les actions à mener, la construction d'un plan d'actions est nécessaire (objectifs, actions, planification, évaluation...), lequel est validé en comité de pilotage quand il existe.
Enfin, demander conseil vous fera gagner du temps et évitera le découragement. InterHop veut conseiller les collectifs, les associations et les petites et moyennes structures à organiser la démarche de mise en conformité avec le RGPD. InterHop s'adresse préférentiellement aux secteurs sanitaire, médicosocial et social.
Source : https://www.cnil.fr
De nombreux professionnels utilisent des outils de discussion et de visioconférence.
Ces logiciels, souvent gratuits, doivent, cependant, toujours offrir des garanties de protection de la vie privée des utilisateurs.
La CNIL rappelle quelques règles de vigilance quant aux applications utilisées :
- Toujours lire les conditions d’utilisation ;
- Ne pas utiliser des applications qui ne garantissent pas la confidentialité des communications ou qui utilisent vos données pour d’autres finalités.
Les outils de visioconférence se basent sur une technologie de VoIP (voix sur IP) qui permet aux utilisateurs de discuter via leur microphone et/ou leur webcam et nécessitent d’être connectés à internet.
La gratuité apparente peut être un modèle économique
Il existe une multitude de modèles économiques pour ces outils, notamment :
- la publicité (qui peut être, sur votre téléphone, in-app ou hors-app) ;
- un abonnement facultatif à un service qui permet d’avoir des fonctionnalités supplémentaires, ou débride certaines fonctionnalités de base (comme le nombre maximum d’utilisateurs simultanés sur un serveur).
La gratuité des applications n’est souvent qu’apparente et elles peuvent rentabiliser leur service en traitant des informations vous concernant, comme vos nom et prénoms, adresse courriel, numéro de téléphone, etc.
Pourquoi faut-il rester vigilant concernant vos données ?
Les applications sont tenues d’informer, de façon complète, les utilisateurs de l’usage fait de leurs données. Il doit notamment être possible de savoir quelles informations sont enregistrées et réutilisées, et dans quel objectif.
Les informations collectées sur vous ne se limitent pas nécessairement à ce que vous avez directement fourni et peuvent s’étendre à d’autres types de données techniques permettant de vous ré-identifier (adresse IP, identifiant de l’appareil, cookies ou technologies analogues).
Dans tous les cas, ces informations ne doivent pas être collectées à votre insu.
Vos conversations, dans un contexte privé ou professionnel, peuvent révéler beaucoup d’informations, soit intimes, soit protégées par une obligation de confidentialité par rapport à vos activités professionnelles.
Quels conseils pour les utilisateurs ?
Avant de télécharger une application
- privilégier les solutions qui protègent la vie privée, certaines peuvent être certifiée par l'ANSSI ;
- éviter de télécharger l’application depuis un site web ou une source inconnus ;
- utiliser seulement les applications pour lesquelles l’éditeur indique clairement comment vos données sont réutilisées (dans l’application elle-même ou sur son site web, par exemple) ;
- lire les commentaires des utilisateurs sur des forums de discussion ou, depuis votre téléphone, dans les magasins d’applications ;
- vérifier que l’éditeur a mis en place des mesures de sécurité essentielles, comme le chiffrement des communications de bout en bout ;
- sécuriser votre réseau Wi-Fi avec un mot de passe robuste, en activant le chiffrement WPA2 ou WPA3 ;
- s’assurer que l’antivirus et le pare-feu sont à jour.
Lors de l’inscription au service
Lorsque c’est possible, limiter le nombre d’informations fournies lors de l’inscription : utiliser un pseudonyme et une adresse mail dédiée, vérifier les options de confidentialité proposées lors de la création du compte, etc. ;
Utiliser un mot de passe différent de ceux utilisés sur les autres services en ligne ;
lire les conditions générales d’utilisation (CGU), notamment ce qui est indiqué en matière de protection des données personnelles, toutes les entreprises fournissant un service à des utilisateurs européens étant tenues d’appliquer le règlement général sur la protection des données (RGPD).
Lors de l’utilisation
- prendre le temps de regarder les paramètres de l’application, notamment en ce qui concerne la protection de votre vie privée (vérifier, par exemple, s’il existe des options permettant de télécharger vos données ou de limiter l’utilisation de certaines informations) ;
- sur votre ordinateur ou votre téléphone, fermer l’application hors utilisation, notamment si le microphone ou la webcam sont activés ;
- désactiver votre microphone et votre webcam hors utilisation. Masquer physiquement la webcam, par exemple avec un bout de ruban adhésif ou un cache est aussi possible ;
- rester particulièrement vigilant(e) en tant que professionnel lorsque des personnes mineures utilisent ces services, notamment s’il s’agit de d’élèves.
Sources :
https://www.cnil.fr/fr/covid-19-les-conseils-de-la-cnil-pour-utiliser-les-outils-de-visioconference
https://www.01net.com/actualites/la-plupart-des-services-de-visioconference-ne-sont-pas-conformes-au-rgpd-1943911.html#comments
https://www.datenschutz-berlin.de/infothek-und-service/pressemitteilungen/
https://interhop.org/projets/esante
Mon avis de DPD/DPO
La plupart des services de visioconférence laissent à désirer, ils ne sont pas conformes au RGPD et ils ont été pointés dans la presse pour leur non-conformité avec le RGPD. Depuis l'annulation du Privacy shield (bouclier de protection des données), je n’utilise plus les services soumis au droit étatsunien comme Microsoft Teams, Zoom, Google Meet, Skype…
Je passe par le Collectif des Hébergeurs Alternatifs, Transparents, Ouverts, Neutres et Solidaires CHATONS.org qui propose des services en ligne libres, éthiques et décentralisés. Voici un lien que j'aime beaucoup : https://entraide.chatons.org
J’utilise Jitsi (ou Big Blue Button pour des webinars) qui me permet de faire des visioconférences 100 % open source et sécurisées. Le service bénéficie d’une haute qualité audio et vidéo qui permet de faciliter vos échanges à distance entre professionnels de santé ou entre soignants et soignés.
Cette solution ne nécessite pas de création de compte. L’outil est accessible sur PC et Mac mais également sur mobile et tablette.
Lorsque je crée un salon de discussion sur Jitsi, un lien est généré. Ce lien est une clé unique et il me suffit de le copier à mes participants.