Photos

3-tag:People-1110px-slider

L’Environnement Juridique de la Protection des Données Personnelles en Europe : Un Cadre Complexe et Évolutif #RGPD #DMA #DSA #CNIL #SANCTION #NYOB

 

L’Environnement Juridique de la Protection des Données Personnelles en Europe : Un Cadre Complexe et Évolutif



La protection des données personnelles est devenue un enjeu majeur dans le monde numérique moderne. En Europe, cet enjeu est encadré par une série de régulations et directives visant à garantir la vie privée des individus tout en favorisant l’innovation et la compétitivité des entreprises. Cet article explore les principales régulations en vigueur et leurs applications dans les différents États membres de l'Union européenne (UE), avec un focus particulier sur les grands textes comme le RGPD, le Digital Markets Act (DMA), le Digital Services Act (DSA) et d’autres initiatives réglementaires.

I. Le Règlement Général sur la Protection des Données (RGPD)

a) Présentation :

Le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur le 25 mai 2018 et constitue la principale loi européenne concernant la protection des données personnelles. Son objectif est de renforcer et unifier la protection des données à travers l’UE, tout en donnant aux citoyens un plus grand contrôle sur leurs informations personnelles. Il s'applique à toutes les entreprises qui traitent les données des résidents européens, indépendamment de leur localisation.

b) Principales Obligations :
  • Consentement explicite : Le traitement des données personnelles doit être précédé d'un consentement clair et explicite de la part des individus concernés.
  • Droit d’accès et de rectification : Les citoyens ont le droit d’accéder à leurs données et de demander leur modification ou suppression.
  • Droit à l'oubli : Les individus peuvent demander la suppression de leurs données personnelles lorsqu’elles ne sont plus nécessaires.
  • Portabilité des données : Les utilisateurs peuvent transférer leurs données d'une plateforme à une autre.
  • Notification en cas de violation : Les entreprises doivent notifier les autorités et les individus en cas de violation de données dans un délai de 72 heures.

Conformité de Microsoft Office 365 au #RGPD ... la réponse de l'European Data Protection Supervisor #CNIL


Pour ceux qui se posait encore la question sur la conformité de Microsoft Office 365 au RGPD ... la réponse est clairement donnée par European Data Protection Supervisor.

« L'European Data Protection Supervisor » vient rendre un nouvel avis le 11 mars 2024 (qui fait suite à celui de 2021 ..) qui clarifie que l'utilisation de Microsoft Office 365 par la Commission Européenne enfreint le Règlement Général de Protection des Données Personnelles pour 6 articles du RGPD et ce depuis le 12 Mai 2021 ...

Communiqué de Presse de EDPS

A poser sur les bureaux des "décideurs des architectures numériques"

 

Voici bien un livre qui devrait figurer en bonne place sur les bureaux des décideurs des architectures numériques. 

L'enjeu de détenir et de diffuser la « bonne » l'information est décrit avec force de documentation pour ne pas prêter le flanc aux thèses complotistes de tout bord.

 

Résumé

Depuis la fin de la guerre froide, la puissance d'un Etat se mesure à sa capacité à maîtriser tous les flux d'informations pour les mettre au service de la propagande. L'auteur montre que, grâce à la révolution numérique et à l'intelligence artificielle, la manipulation de l'information devient la norme à l'échelle de la planète quel que soit le régime en place, autoritaire ou démocratique. (source ©Electre 2024)

 

Le « dorking » ou utiliser avec efficacité les moteurs de recherche #RGPD #CNIL #DPO

 

Durant les cours sur le règlement général sur la protection des données ou sur la cyber-sécurité, la collecte d’information est primordiale. Au début on sait ce qu’on cherche alors pour trouver des informations on commence par utiliser des moteurs de recherche. 

Les stagiaires « se jettent » généralement sur le duo Chrome / Google … avec un peu de « chance » ils utilisent des moteurs différents Bing, Yahoo, Qwant, DuckDuckGo, Baidu, Yandesk ce qui permet d’obtenir des résultats différents .. et de commencer une carte mentale pour affiner et croiser les informations.



Cependant une fois les premiers résultats récupérés, il faut affiner les résultats. Les moteurs utilisent des fonctionnalités avancées que l’on peut activer mais ce n’est pas suffisant.

Les plaintes auprès de la #CNIL en 2021 #RGPD et son appel d'offre "Externalisation de certaines opérations de traitement de saisines"

 Dans son récent appel d'offre de février la CNIL portant sur "Externalisation de certaines opérations de traitement de saisines. Externalisation du traitement des plaintes simples et des réclamations" fait mention de la répartition des plaintes en 2021. 


L'appel d'offre a été classé sans suite "à la suite d'une irrégularité dans les documents de consultation", il ne fait pas de doute que la consultation va être re-publier.




La mise en demeure de la #CNIL à propos de Google Analytics n'est qu'une suite logique #RGPD #GOOGLE


La mise en demeure de la CNIL sur le sujet de Google Analytics n'est que la suite logique de la montée en charges de la protection des données personnelles en Europe.

L’association NYOB est à l’origine d’une centaine de plaintes déposées auprès de différentes autorités de protection des données (APD) concernant le transfert de données vers les États-Unis lors de l’utilisation de l’outil Google Analytics mis en œuvre par autant de responsables de traitement.

Un groupe de travail s’est organisé pour faire face à la similitude des plaintes déposées dans 27 Etats membres. Son but : répondre de manière harmonisée auxdites plaintes.

Le CEPD et l’autorité de protection autrichienne (APD) s’étaient déjà prononcés sur le sujet [CF l'article de Lexing ].

Voici un petit récapitulatif de la montée en charge des actions pour ne pas perdre de le fil de l'évolution en cours. 

 Et pour ceux qui se pose la question de la raison de ces décisions, nous les invitons à lire en plus les documents sur le Patriot Act et le Cloud Act.


Les sanctions de la #CNIL en 2021: l'article 25 entre dans la danse #RGPD


 La CNIL a posée un certain nombre de sanctions qui se sont traduit par des amendes administratives et par la publication de ces sanctions.

Il est intéressant de regarder quels sont les manquements invoqués par la CNIL pour poser des sanctions financières.

On retrouve bien entendu l'article 32 "Sécurité du traitement"  et les articles de 12 à 21 sur les informations et les droits des personnes. Mais on retrouve désormais fréquemment l'article 25 "Protection des données dès la conception et protection des données par défaut". source : Legifrance.gouv.fr

 


La procédure de sanction simplifiée de la CNIL est désormais opérationnelle #CNIL #RGPD #SANCTION


 On en parlait depuis le mois de février 2021, la CNIL souhaitait disposer de pouvoir disposer d'une procédure simplifié.

Le projet de "loi 4D" (différenciation, décentralisation, déconcentration et diverses mesures de simplification), très attendu par les collectivités territoriales, a pour objet le renforcement de la décentralisation des pouvoirs publics.

Dans l'article 41 du projet de loi, on retrouve "L’instruction de plaintes est désormais au coeur du système issu de cette nouvelle réglementation. En ne permettant que d’adopter environ cinquante mises en demeure et une dizaine de sanctions par an, les procédures de traitement des plaintes apparaissent désormais inadaptées." 

Il convenait de pouvoir étendre les pouvoirs de l'autorité de contrôle et l'article 50 de la proposition à pour objet de "simplifier les procédures  et de moderniser les outils dont dispose la CNIL .. afin de l'adapter à la croissance de l'administration numérique. "De même, il est proposé de simplifier la procédure de mise en demeure, autre outil à disposition du président de la CNIL et alternatif aux sanctions."

Le site du gouvernement français ... oups la #CNIL ?? #RGPD

 Elle est pas rigolote celle là ?

Au début je me suis dit "non c'est une erreur" donc vérification .. donc un petit nslookup
 
> www.gouvernement.fr
Serveur :   UnKnown
Address:  192.168.64.254

Réponse ne faisant pas autorité :
Nom :    cs698.wpc.upsiloncdn.net
Address:  192.229.221.103
Aliases:  www.gouvernement.fr
          www.premier-ministre.gouv.fr
 

Ah c'est la même adresse ... bon qui sait un coup de géoloc ... allez on prend le premier qui passe ... 


et bien non c'est bien aux USA ...

Alors il est où le Youki ?? (oui c'est la compression digne de Gotainer .. Il est où "le bandeau des cookies" ?? )  ben yen à pas ... bon d'accord on utilise le produit de "Atinternet " mais bon

mais si on cherche .. 


on trouve .. que par défaut ca va chez Google Facebook Microsoft ... mais ça doit être des entreprises européennes sans doutes et comme tout est activé par défaut ...


et aussi ...


enfin ça part chez Google et consort tout ça ..

Allez une petite remarque de la CNIL ? .. ben non ... :-)

Actualité de la #CNIL (Source #AFCDP de février 2021) #RGPD #GPDR

https://afcdp.net/

 
État des désignations
À ce jour, 74 731 organismes ont désigné un Délégué.
Cela porte sur 26 000 Délégués, dont 24 900 sont des personnes physiques.
À noter, les 35 000 communes sont très en retard, et n’ont désigné que 16 000 Délégués.


MOOC
La CNIL finalise un nouveau module de son MOOC, consacré aux collectivités. Il devrait être disponible courant mars. À l’occasion d’un changement de prestataire, le MOOC va évoluer dans les prochains mois vers une version 2, qui donnera lieu à un enrichissement des modules existant.

Référentiel de durées de conservation RH
Son adoption par la Commission devrait intervenir avant l’été.On peut donc envisager sa publication avant la rentrée.

Guide du DPO
Le guide du DPO préparé par la CNIL est bien avancé. Il sera présenté à l’ensemble des commissaires. Et devrait être disponible avant la fin de l’année. Il comportera de nombreuses réponses aux diverses questions relatives au DPO.

Consultation sur les mandats
Le dépouillement de la consultation est en cours. La recommandation de la CNIL ne devrait pas être disponible avant avril.
Nous avons insisté sur nos remarques critiques vis-à-vis du projet, qui nous parait trop orienté vers la portabilité, au détriment des problématiques opérationnelles que présentent les mandats dans l’exercice des autres droits.

Certification
La CNIL signale la publication du référentiel de certification des organismes de formation. Ce sont des organismes, et non des personnes, qui seront certifiés par le COFRAC. La certification porte sur des formations à la protection des données et au RGPD au sens large, et non des formations de DPO.

Questions d’actualité

AIPD : consultations au titre de l’article 36
La CNIL a été sollicitée environ 200 fois pour des questions relatives aux AIPD, mais pas dans le cadre de l’article 36 du RGPD. Les demandes portent sur des conseils en amont, ce qui permet sans doute d’éviter les situations prévues par l’article 36. Elles concernent essentiellement la sphère publique.

Hébergement souverain
Suite à une information de PARIS2024, nous avons indiqué que certains membres sont surpris de l’hébergement des données des JO de Paris chez un prestataire chinois. La CNIL n’a pas été consultée à ce sujet, et es informations ont été demandées aux services de la Commission, qui est en relation avec le Comité d’organisation des JO.

Suites de Schrems II
La question a été largement abordée par le Délégué général de la CNIL lors de l’Université AFCDP des DPO le 26 janvier 2021.
Compte tenu de la situation, à ce stade les contrôles portant sur des transferts hors UE ne devraient pas donner lieu à des sanctions systématiques. La CNIL s’attachera toujours à évaluer la posture du RT et des démarches entreprises en vue de la meilleure conformité possible.

 
Attestation de conformité
À propos d’une entreprise qui communique sur l’attestation de conformité qu’elle a obtenue pour sa méthode d’anonymisation, la CNIL nous a confirmé cette procédure qui découle de l’application de l’article 8.I.3 de la Loi Informatique et Libertés.

Relations avec la CNIL

Comment la CNIL gère-t-elle les priorités des questions qui lui sont posées ?
Cette question est évoquée dans la Charte d’accompagnement des responsables de traitement, récemment publiée par la CNIL. La priorité est d’abord donnée aux questions qui présentent une certaine urgence, en particulier quand elles sont soumises par un réseau, ou quand elles correspondent à un sujet d’actualité.
Par ailleurs, la CNIL a entamé une démarche d’amélioration de l’accusé de réception, avec un retour rapide s’il est anticipé que la question posée ne recevra pas de réponse individuelle.


Traitement des plaintes : information du DPO
En cas de plainte, la CNIL sollicite systématiquement le DPO. Des anomalies peuvent se produire lorsque les coordonnées de contact direct du DPO ne sont pas à jour. Les membres de l’AFCDP qui observeraient des cas où la règle n’est pas respectée peuvent le signaler au Délégué général qui transmettra à la CNIL.

Désignations multiples en ligne
En cas de désignation d’un DPO pour plusieurs entités, il convient de le signaler par courriel au service des Délégués. La CNIL communique alors un lien vers une procédure dédiée. Une réflexion est en cours, dans le cadre du schéma directeur SI de la CNIL, pour moderniser les procédures de désignation et de mise à jour. Elles se heurtent à la problématique d’identification fiable des organismes par un compte accessible en ligne.

La CNIL prévoit-elle d’offrir de nouvelles formations ?
Un calendrier de webinaires est en cours de réalisation. Les sujets relatifs à la santé, dans le contexte de crise sanitaire, sont privilégiés. La CNIL envisage également l’option de webinaires consacrés aux sujets d’actualité.

Comment se préparer au DMD, DSA et ePrivacy ?
La CNIL reste attentive à l’évolution de ces dossiers. Elle peut difficilement intervenir sur des textes qui sont encore au stade de la discussion entre les instances européennes. L’AFCDP peut d’ores et déjà lui transmettre les questions qui pourraient émerger au sein de l’association : elles peuvent nourrir ses réflexions, dans le cadre de sa participation au sein des instances européennes (CEPD/EDPB en particulier).