Retrouvez-nous sur LINKED-IN

En bref

Top secret Australian government files

Ne cédez pas des meubles qui ne sont pas vides !

1er février 2018

Top secret Australian government files found in secondhand shop (article du Guardian).

Des dossiers confidentiels du gouvernement australien dans un secrétaire dont on avait perdu la clé retrouvé chez un brocanteur. Un vrai dysfonctionnement dans la gestion des documents engageants l’État.

Tunisie et mail

Fin des correspondances administratives sur papier dans certaines administrations tunisiennes

28  janvier 2018

Dans le HuffPost Tunisie.

Ne pas oublier, au-delà du temps gagné, que le support n’est pas discriminant dans la valeur de l’information. La question est d’identifier les mails engageants comme les courriers papier engageants et de les gérer en conséquence.

DSIH-Cedric Cartau

Le RGPD et l’autoréflexivité des SI

24  janvier 2018

Un article très intéressant de Cédric Cartau RSSI et DPO au CHU de Nantes.

Commentaire de Marie-Anne Chabin : Je pense qu’une des raisons de votre légitime interrogation est que l’on considère trop les données comme une masse indifférenciée, avec des millions de données unitaires formant le big data et rien entre les deux. Je crois que la solution consiste à définir un niveau entre les unités élémentaires et la masse, en délimitant des objets d’information (agrégations d’un certain nombre de données) résultant d’une action bien déterminée avec une finalité bien déterminée (personnellement, j’appelle ces agrégats de données des documents car ils en ont les caractéristiques fondamentales). Et, oui, le RGPD arrive à pont nommé pour progresser sur ce point.

Tribunal terrier Madagascar

Une juridiction chargée de statuer sur le sort des données manquantes ou des documents détériorés

18  janvier 2018

C’est à Madagascar, dans un contexte de détérioration de documents fonciers, mais l’idée est plus large

RGPD Courtecuisse Challenges

Alerte, l’Europe tourne le dos à l’innovation

17  janvier 2018

C’est le discours que tient Matthieu Courtecuisse, fondateur de Sia Partners, dans Challenges.

Commentaire de Marie-Anne Chabin : Il est faux de dire que le RGPD tourne le dos à l’innovation. La contrainte, en technologie innovante comme en littérature, est source de créativité !
Et l’objectif de l’innovation ne se limite pas à la conquête commerciale !
L’auteur de l’article fait un « arrêt sur image » à l’instant T (1525, 2018) sans véritable mise en perspective historique (2018 est la date de mise en œuvre du RGPD mais à quelle décision correspond donc 1525 dans l’histoire de la Chine ?). Au contraire, le RGPD vient à bon escient rééquilibrer un peu une situation déséquilibrée par la position dominante d’un petit nombre d’acteurs.

EDF Archivage 3 ans

Durée et responsabilité d’archivage

4  décembre 2017

Un récent post d’EDF sur LinkedIn vante les avantages de la facture électronique. L’image associée est titrée « Archivage 3 ans » et effectivement le site correspondant explique que la facture électronique sera accessibles pendant trois ans sur « votre espace client ». Pourtant, les factures papier continuent de porter la mention « document à conserver 5 ans ». Des durées de conservation différentes pour le papier et le numérique ? Le site précise : « cet hébergement sur 3 ans ne vous exonère pas de vos obligations légales d’archivage ». Alors, est-ce vraiment utile ?

Autrement dit, on n’a plus besoin de penser au paiement (« Avec un prélèvement engagé automatiquement, vous n’avez plus besoin d’y penser et êtes sûr de respecter les délais ! ») mais il faut penser à l’archivage…

NPR

Un tatouage est une information… s’il est daté

2  décembre 2017

Un patient arrive inanimé aux urgences d’un hôpital de Floride et les médecins découvre sur son corps un tatouage « Ne pas réanimer ». Que faire ? Est-ce là la volonté de l’intéressé ?

Le tatouage est en fait le résultat d’un vieux pari de jeunesse, complètement oublié par le patient.

Moralité : un tatouage, non daté, non mis à jour, n’est pas une information ; c’est juste un dessin.

Fuite Darty_eb

Qui diffuse les données personnelles sur Internet ?

21 novembre 2017

Le titre d’un article du magazine Que Choisir Des devis Darty fuitent sur Internet  est vague. En réalité, il ne s’agit pas d’une « fuite » massive et organisée, au sens où on parle de « fuite » (leaks) habituellement dans la presse dont l’origine serait une négligence de l’entreprise ou un piratage. Ce sont a priori quelques consommateurs isolés qui ont eux-mêmes alimenté le moteur de recherche par leur comportement inconscient des risques de diffusion sur le réseau.

L’éducation est à faire à tous les niveaux.

Ticket horodateur_eb

Les contraventions et les données personnelles

16 novembre 2017

Recommandations de la CNIL sur la réforme du stationnement payant.

Un article précis sur un sujet pointu illustre très bien les différentes facettes de la question des données personnelles, par exemple le lien entre le fait de ne pas faire quelque chose (ne pas payer le stationnement), la production d’une photo (plaque d’immatriculation) et le fait que des personnes se trouvant dans ou autour du véhicule peuvent apparaître sur la photo.

Paradise papers-icij_eb

Dix-huit mois après les Panama Papers : les Paradise Papers

12 novembre 2017

L’ICIJ  (International Consortium of Investigative Journalists) a révélé le 5 novembre 2017 de nombreux documents constituant pour l’essentiel les archives du cabinet d’avocat Appleby et mettant en cause de nombreuses personnalités recourant à « l’optimisation fiscale », voir Wikipédia. La révélation porte sur 13,4 millions de documents pesant 1,4 To et couvrant 50 ans d’activité, contre 11,5 millions et 2,4 To pour 40 ans d’archives pour les Panama Papers.

Commentaire de Marie-Anne Chabin : Les médias français parlent toujours « en gros » de papiers, documents, documents internes, fichiers, sans bien faire la différence, et même de « données à déchiffrer ». Le journal Le Monde, lui, parle mystérieusement (et de manière très approximative) de « documents secrets » et de « documents confidentiels »sans préciser de quels documents sont en cause. Je n’ai d’ailleurs pas trouvé de sites français qui sache nommer ces documents. Il faut aller sur le site de l’ICIJ pour avoir l’information. Là, j’ai enfin la réponse (en anglais) : contrats de prêt, bilans financiers, mails, actes de fiducie et dossiers papier, dont les éléments d’information ont été recoupés avec les registres du commerce et des sociétés de différents pays pratiquant le secret bancaire. Ce n’est pourtant pas sorcier d’être précis quand on parle de l’information au cœur des scandales !

AEPD vs Google_eb

La CNIL espagnole se dresse sur la route de Google Street View

10 novembre 2017

L’AEPD (Agencia española de protección de datos) a infligé à Google une sanction de 300 000 € pour les données personnelles collectées dans l’opération Google Street View. Un article très clair dans Itespresso.

Commentaire de Marie-Anne Chabin : Cette affaire illustre très bien la problématique des données personnelles à la veille de l’entrée en vigueur du RGPD. D’un côté une technologie toujours plus puissante mais aveugle, capable d’aspirer, ici à partir des réseaux Wi-Fi ouverts, beaucoup plus de données que les données nécessaires à la meilleure géolocalisation des utilisateurs qui est l’argument avancé par Google pour cette collecte systématique ; or Google a aussi collecté des adresses électroniques, des images, des fragments de conversation sur messagerie instantanée, des vidéos, autant d’éléments a priori anodins mais qui, s’ils sont ensuite reliés aux données des réseaux sociaux, permettent un profilage non autorisé. De l’autre côté, le nécessaire engagement humain (responsabilité du collecteur et consentement de l’individu concerné) dans la qualification des données personnelles au moment de la collecte avec la durée associée à leur usage.

Voitures connectées-eb

Voitures connectées : à qui appartiennent les données ?

29 octobre 2017

Un article du Monde qui sensibilise à la gestion des masses de données collectées par les voitures sur les automobilistes.

Commentaire de Marie-Anne Chabin : La question est posée de savoir si les informations générées par une voiture constituent des données machine ou des données personnelles. La réponse passe par une qualification des processus de production de ces données, ce que le RGPD appelle traitement (fonctionnement d’un appareil, étude des habitudes du conducteur, etc.). Selon l’objectif, certaines données personnelles, inutiles à la finalité, devront être anonymisées dès la production ou détruites automatiquement. Et de toutes façons, l’automobiliste doit être informé et donner son consentement. On peut imaginer que certains le donnent et d’autres non, choix que les entreprises devront respecter.

GDPR-consumers

RGPD: entre autorités et consommateurs

25 octobre 2017

Les entreprises non conformes au RGPD encourent de fortes sanctions de la part des autorités. Le coût des revendications des internautes pourrait être plus élevé encore…. C’est ce que laisse penser l’article GDPR from a consumer perspective, signalé sur FrenchWeb par Bertrand Duperrin

Un argument de plus pour anticiper et qualifier les données au plus juste de leur légitime usage.

Silicon, enquête données

RGPD: les entreprises françaises face à la dispersion des données persos

20 octobre 2017

Une étude réalisée par OnePoll pour le compte de Citrix et présentée par Silicon

Commentaire de Marie-Anne Chabin : Il est sidérant de voir que les données ne sont considérées dans cette enquête que comme des éléments isolés et indépendants. Aucune allusion au fait que les données tracent une action, un engagement (achat, négociation, enquête, demande…) entre deux personnes à un moment donné et que cette trace est un objet contractuel. Le problème de la protection des données personnelles est d’abord la connaissance et le consentement de cette trace.

Fichier Excel LM

Un fichier comportant des appréciations injurieuses sur des collaborateurs se promène sur un serveur

10 octobre 2017

Un serveur partagé d’un site de Leroy-Merlin comportait dans un fichier Excel non verrouillé une liste des contrats d’intérim « agrémentée » de commentaires désobligeants pour certaines personnes. Voir le reportage de FranceInfo.

Commentaire de Marie-Anne Chabin : Cette entreprise a été épinglée mais la situation est loin d’être unique. Il faut distinguer :

  • la production d’un document au nom de l’entreprise (en l’espèce la liste des contrats d’intérim) et l’initiative individuelle d’y enregistrer des commentaires indus ;
  • le caractère confidentiel d’un document qui conduit à le verrouiller ou à le placer dans un espace dont l’accès est restreint et contrôlé, et l’acte d’écrire des informations qui ne devraient pas être écrite.

 

Gpomag-eb

L’archivage électronique présente-t-il des risques pour votre organisation ?

25 septembre 2017

Un article de Gpomag. Extrait : « Dans le monde de l’entreprise, nombreux sont les collaborateurs à ne pas saisir les enjeux que représente la manipulation de documents électroniques au quotidien. Chaque échange de fichiers numériques, en interne comme en externe, constitue une archive ».

Commentaire de Marie-Anne Chabin : J’aime bien l’idée sous-jacente dans cette phrase : ce qui engage et nécessite un archivage (mise en sécurité) est l’échange de documents numériques ou d’informations (dans le sens où un mail est un document). Et aussi le constat que la solution du problème réside en bonne part dans la formation des collaborateurs aux risques.

Traitements, processus, documents

Cartographier les traitements de données personnelles

11 mai 2017

En lien avec le Règlement européen, la CNIL incite les entreprises à faire une cartographie de leurs traitements.

Commentaire de Marie-Anne Chabin

Le RGDP donne l’image d’un rouleau compresseur qui va mettre à plat toute la gestion de l’information en entreprise. Il est clair que l’impact du Règlement sera énorme mais tout n’est peut-être pas non plus à réinventer au plan méthodologique. Il faudrait en priorité creuser

  1. d’une part la relation processus/traitement (cartographie de processus) et
  2. d’autre part la relation ensemble de données/documents (référentiel de conservation).