Le RGPD, c’est le Règlement Général sur la Protection des Données. En fait c'est une loi européenne appliquée depuis le 25 mai 2018. Le RGPD change les règles pour les entreprises et les administrations qui gèrent des données personnelles. Il sert à encadrer la manière dont ces entreprises et ces administrations vont utiliser les données personnelles qu'elles collectent.

Le RGPD, c’est aussi la réglementation qui redonne, aux résidents européens, le contrôle de leurs données personnelles quant à leur traitement et à leur circulation.
Il reprend des principes déjà existants dans la loi française, loi Informatique et Libertés (LIL).

Les changements pour la personne :

• L'âge du consentement du mineur pour le traitement de ses données personnelles. La France a décidé que ce serait 15 ans (par exemple : avant 15 ans, le mineur doit avoir le consentement de ses parents pour s'inscrire sur un réseau social);
• Le droit à la portabilité des données : si j'utilise un service, je dois pouvoir récupérer toutes mes données collectées par ce service et les transférer à un autre service (par exemple : récupérer mes données d'un service bancaire pour les transférer à un autre service bancaire);
• Les conditions d'utilisation : les structures doivent avoir des conditions d'utilisation, des règles du jeu claires et concises qui encadrent les pratiques de la manière dont elles utilisent les données personnelles qu'elles collectent.

Les changements pour les entreprises et les administrations :

Les entreprises et les administrations doivent être en capacité de prouver que toutes les données personnelles qu'elles collectent sont recueillies légalement, qu'elles ont eu le consentement de l'utilisateur, et qu'elles les conservent bien sécurisées. C'est un tas de précautions et de pratiques qui n'existaient pas avant qu'elles doivent s'approprier et mettre en oeuvre.

Pour conclure, le but du RGPD, c'est d'encadrer la manière dont nos données sont exploitées. C'est un pan majeur de l'économie (numérique) quel que soit le secteur.

Les structures qui ne sont pas conformes au RGPD peuvent être sanctionnées. C'est en grande partie ce qui donne du poids au RGPD.

Tags : rgpd législation

Mon avis de DPD/DPO

À mon sens, le RGPD est une opportunité.

Pourquoi ?

D'abord parce qu'il était grand temps de se protéger, de créer un cadre juridique unifié au sein de l'Europe pour faire face aux enjeux que représentent le traitement des données à caractère personnel. La démarche est, à mon sens, plutôt responsable.

Ensuite, parce que le RGPD est l’occasion de rétablir la confiance en imposant plus de transparence.

Enfin, et pour conclure, parce que l’Europe a su montrer l’exemple, ce qui peut stimuler le reste du monde, voire l'aider à opter pour de nouvelles pratiques plus respectueuses de la personne.

Prévu à l'article 30 du Règlement Général pour la Protection des données ou RGPD, le registre des activités de traitement nourrit la 6ème étape de la mise en conformité au RGPD : il documente la conformité.

Le registre est un outil interne qui recense les traitements des données effectués et qui aide au pilotage de votre structure.

Il se présente sous la forme d’un document dans lequel vous identifiez les intervenants dans le traitement, les catégories de données traitées, les personnes susceptibles d’accéder aux données, les personnes auxquelles elles sont communiquées, la durée de conservation et les modalités de sécurisation des données.

tags : registre rgpd
Sources : https://www.cnil.fr

Mon avis de DPD/DPO

La CNIL recommande de tenir 2 registres. Le premier pour les traitements de données personnelles en tant que responsable de traitement et le second en tant que sous-traitants.

Je conseille l'ouverture d'un troisième registre pour les notifications de violations de données à caractère personnel à la CNIL.

À mon sens, le registre n'est pas à négliger, il permet d'améliorer votre gestion des risques et la qualité de vos services.

De nombreux professionnels utilisent des outils de discussion et de visioconférence.

Ces logiciels, souvent gratuits, doivent, cependant, toujours offrir des garanties de protection de la vie privée des utilisateurs.

La CNIL rappelle quelques règles de vigilance quant aux applications utilisées :

• Toujours lire les conditions d’utilisation ;
• Ne pas utiliser des applications qui ne garantissent pas la confidentialité des communications ou qui utilisent vos données pour d’autres finalités.

Les outils de visioconférence se basent sur une technologie de VoIP (voix sur IP) qui permet aux utilisateurs de discuter via leur microphone et/ou leur webcam et nécessitent d’être connectés à internet.

La gratuité apparente peut être un modèle économique

Il existe une multitude de modèles économiques pour ces outils, notamment :

• la publicité (qui peut être, sur votre téléphone, in-app ou hors-app) ;
• un abonnement facultatif à un service qui permet d’avoir des fonctionnalités supplémentaires, ou débride certaines fonctionnalités de base (comme le nombre maximum d’utilisateurs simultanés sur un serveur).

La gratuité des applications n’est souvent qu’apparente et elles peuvent rentabiliser leur service en traitant des informations vous concernant, comme vos nom et prénoms, adresse courriel, numéro de téléphone, etc.

Pourquoi faut-il rester vigilant concernant vos données ?

Les applications sont tenues d’informer, de façon complète, les utilisateurs de l’usage fait de leurs données. Il doit notamment être possible de savoir quelles informations sont enregistrées et réutilisées, et dans quel objectif.

Les informations collectées sur vous ne se limitent pas nécessairement à ce que vous avez directement fourni et peuvent s’étendre à d’autres types de données techniques permettant de vous ré-identifier (adresse IP, identifiant de l’appareil, cookies ou technologies analogues).

Dans tous les cas, ces informations ne doivent pas être collectées à votre insu.

Vos conversations, dans un contexte privé ou professionnel, peuvent révéler beaucoup d’informations, soit intimes, soit protégées par une obligation de confidentialité par rapport à vos activités professionnelles.

Quels conseils pour les utilisateurs ?

Avant de télécharger une application

• privilégier les solutions qui protègent la vie privée, certaines peuvent être certifiée par l'ANSSI ;
• éviter de télécharger l’application depuis un site web ou une source inconnus ;
• utiliser seulement les applications pour lesquelles l’éditeur indique clairement comment vos données sont réutilisées (dans l’application elle-même ou sur son site web, par exemple) ;
• lire les commentaires des utilisateurs sur des forums de discussion ou, depuis votre téléphone, dans les magasins d’applications ;
• vérifier que l’éditeur a mis en place des mesures de sécurité essentielles, comme le chiffrement des communications de bout en bout ;
• sécuriser votre réseau Wi-Fi avec un mot de passe robuste, en activant le chiffrement WPA2 ou WPA3 ;
• s’assurer que l’antivirus et le pare-feu sont à jour.

Lors de l’inscription au service

Lorsque c’est possible, limiter le nombre d’informations fournies lors de l’inscription : utiliser un pseudonyme et une adresse mail dédiée, vérifier les options de confidentialité proposées lors de la création du compte, etc. ;
Utiliser un mot de passe différent de ceux utilisés sur les autres services en ligne ;
lire les conditions générales d’utilisation (CGU), notamment ce qui est indiqué en matière de protection des données personnelles, toutes les entreprises fournissant un service à des utilisateurs européens étant tenues d’appliquer le règlement général sur la protection des données (RGPD).

Lors de l’utilisation

• prendre le temps de regarder les paramètres de l’application, notamment en ce qui concerne la protection de votre vie privée (vérifier, par exemple, s’il existe des options permettant de télécharger vos données ou de limiter l’utilisation de certaines informations) ;
• sur votre ordinateur ou votre téléphone, fermer l’application hors utilisation, notamment si le microphone ou la webcam sont activés ;
• désactiver votre microphone et votre webcam hors utilisation. Masquer physiquement la webcam, par exemple avec un bout de ruban adhésif ou un cache est aussi possible ;
• rester particulièrement vigilant(e) en tant que professionnel lorsque des personnes mineures utilisent ces services, notamment s’il s’agit de d’élèves.

Sources :
https://www.cnil.fr/fr/covid-19-les-conseils-de-la-cnil-pour-utiliser-les-outils-de-visioconference
https://www.01net.com/actualites/la-plupart-des-services-de-visioconference-ne-sont-pas-conformes-au-rgpd-1943911.html#comments
https://www.datenschutz-berlin.de/infothek-und-service/pressemitteilungen/
https://interhop.org/projets/esante

Mon avis de DPD/DPO

La plupart des services de visioconférence laissent à désirer, ils ne sont pas conformes au RGPD et ils ont été pointés dans la presse pour leur non-conformité avec le RGPD. Depuis l'annulation du Privacy shield (bouclier de protection des données), je n’utilise plus les services soumis au droit étatsunien comme Microsoft Teams, Zoom, Google Meet, Skype…

Je passe par le Collectif des Hébergeurs Alternatifs, Transparents, Ouverts, Neutres et Solidaires CHATONS.org qui propose des services en ligne libres, éthiques et décentralisés. Voici un lien que j'aime beaucoup : https://entraide.chatons.org

J’utilise Jitsi (ou Big Blue Button pour des webinars) qui me permet de faire des visioconférences 100 % open source et sécurisées. Le service bénéficie d’une haute qualité audio et vidéo qui permet de faciliter vos échanges à distance entre professionnels de santé ou entre soignants et soignés.

Cette solution ne nécessite pas de création de compte. L’outil est accessible sur PC et Mac mais également sur mobile et tablette.

Lorsque je crée un salon de discussion sur Jitsi, un lien est généré. Ce lien est une clé unique et il me suffit de le copier à mes participants.