Retrouvez-nous sur LINKED-IN

En bref

Fuite Darty_eb

Qui diffuse les données personnelles sur Internet ?

21 novembre 2017

Le titre d’un article du magazine Que Choisir Des devis Darty fuitent sur Internet  est vague. En réalité, il ne s’agit pas d’une « fuite » massive et organisée, au sens où on parle de « fuite » (leaks) habituellement dans la presse dont l’origine serait une négligence de l’entreprise ou un piratage. Ce sont a priori quelques consommateurs isolés qui ont eux-mêmes alimenté le moteur de recherche par leur comportement inconscient des risques de diffusion sur le réseau.

L’éducation est à faire à tous les niveaux.

Ticket horodateur_eb

Les contraventions et les données personnelles

16 novembre 2017

Recommandations de la CNIL sur la réforme du stationnement payant.

Un article précis sur un sujet pointu illustre très bien les différentes facettes de la question des données personnelles, par exemple le lien entre le fait de ne pas faire quelque chose (ne pas payer le stationnement), la production d’une photo (plaque d’immatriculation) et le fait que des personnes se trouvant dans ou autour du véhicule peuvent apparaître sur la photo.

Paradise papers-icij_eb

Dix-huit mois après les Panama Papers : les Paradise Papers

12 novembre 2017

L’ICIJ  (International Consortium of Investigative Journalists) a révélé le 5 novembre 2017 de nombreux documents constituant pour l’essentiel les archives du cabinet d’avocat Appleby et mettant en cause de nombreuses personnalités recourant à « l’optimisation fiscale », voir Wikipédia. La révélation porte sur 13,4 millions de documents pesant 1,4 To et couvrant 50 ans d’activité, contre 11,5 millions et 2,4 To pour 40 ans d’archives pour les Panama Papers.

Commentaire de Marie-Anne Chabin : Les médias français parlent toujours « en gros » de papiers, documents, documents internes, fichiers, sans bien faire la différence, et même de « données à déchiffrer ». Le journal Le Monde, lui, parle mystérieusement (et de manière très approximative) de « documents secrets » et de « documents confidentiels »sans préciser de quels documents sont en cause. Je n’ai d’ailleurs pas trouvé de sites français qui sache nommer ces documents. Il faut aller sur le site de l’ICIJ pour avoir l’information. Là, j’ai enfin la réponse (en anglais) : contrats de prêt, bilans financiers, mails, actes de fiducie et dossiers papier, dont les éléments d’information ont été recoupés avec les registres du commerce et des sociétés de différents pays pratiquant le secret bancaire. Ce n’est pourtant pas sorcier d’être précis quand on parle de l’information au cœur des scandales !

AEPD vs Google_eb

La CNIL espagnole se dresse sur la route de Google Street View

10 novembre 2017

L’AEPD (Agencia española de protección de datos) a infligé à Google une sanction de 300 000 € pour les données personnelles collectées dans l’opération Google Street View. Un article très clair dans Itespresso.

Commentaire de Marie-Anne Chabin : Cette affaire illustre très bien la problématique des données personnelles à la veille de l’entrée en vigueur du RGPD. D’un côté une technologie toujours plus puissante mais aveugle, capable d’aspirer, ici à partir des réseaux Wi-Fi ouverts, beaucoup plus de données que les données nécessaires à la meilleure géolocalisation des utilisateurs qui est l’argument avancé par Google pour cette collecte systématique ; or Google a aussi collecté des adresses électroniques, des images, des fragments de conversation sur messagerie instantanée, des vidéos, autant d’éléments a priori anodins mais qui, s’ils sont ensuite reliés aux données des réseaux sociaux, permettent un profilage non autorisé. De l’autre côté, le nécessaire engagement humain (responsabilité du collecteur et consentement de l’individu concerné) dans la qualification des données personnelles au moment de la collecte avec la durée associée à leur usage.

Voitures connectées-eb

Voitures connectées : à qui appartiennent les données ?

29 octobre 2017

Un article du Monde qui sensibilise à la gestion des masses de données collectées par les voitures sur les automobilistes.

Commentaire de Marie-Anne Chabin : La question est posée de savoir si les informations générées par une voiture constituent des données machine ou des données personnelles. La réponse passe par une qualification des processus de production de ces données, ce que le RGPD appelle traitement (fonctionnement d’un appareil, étude des habitudes du conducteur, etc.). Selon l’objectif, certaines données personnelles, inutiles à la finalité, devront être anonymisées dès la production ou détruites automatiquement. Et de toutes façons, l’automobiliste doit être informé et donner son consentement. On peut imaginer que certains le donnent et d’autres non, choix que les entreprises devront respecter.

GDPR-consumers

RGPD: entre autorités et consommateurs

25 octobre 2017

Les entreprises non conformes au RGPD encourent de fortes sanctions de la part des autorités. Le coût des revendications des internautes pourrait être plus élevé encore…. C’est ce que laisse penser l’article GDPR from a consumer perspective, signalé sur FrenchWeb par Bertrand Duperrin

Un argument de plus pour anticiper et qualifier les données au plus juste de leur légitime usage.

Silicon, enquête données

RGPD: les entreprises françaises face à la dispersion des données persos

20 octobre 2017

Une étude réalisée par OnePoll pour le compte de Citrix et présentée par Silicon

Commentaire de Marie-Anne Chabin : Il est sidérant de voir que les données ne sont considérées dans cette enquête que comme des éléments isolés et indépendants. Aucune allusion au fait que les données tracent une action, un engagement (achat, négociation, enquête, demande…) entre deux personnes à un moment donné et que cette trace est un objet contractuel. Le problème de la protection des données personnelles est d’abord la connaissance et le consentement de cette trace.

Fichier Excel LM

Un fichier comportant des appréciations injurieuses sur des collaborateurs se promène sur un serveur

10 octobre 2017

Un serveur partagé d’un site de Leroy-Merlin comportait dans un fichier Excel non verrouillé une liste des contrats d’intérim « agrémentée » de commentaires désobligeants pour certaines personnes. Voir le reportage de FranceInfo.

Commentaire de Marie-Anne Chabin : Cette entreprise a été épinglée mais la situation est loin d’être unique. Il faut distinguer :

  • la production d’un document au nom de l’entreprise (en l’espèce la liste des contrats d’intérim) et l’initiative individuelle d’y enregistrer des commentaires indus ;
  • le caractère confidentiel d’un document qui conduit à le verrouiller ou à le placer dans un espace dont l’accès est restreint et contrôlé, et l’acte d’écrire des informations qui ne devraient pas être écrite.

 

Gpomag-eb

L’archivage électronique présente-t-il des risques pour votre organisation ?

25 septembre 2017

Un article de Gpomag. Extrait : « Dans le monde de l’entreprise, nombreux sont les collaborateurs à ne pas saisir les enjeux que représente la manipulation de documents électroniques au quotidien. Chaque échange de fichiers numériques, en interne comme en externe, constitue une archive ».

Commentaire de Marie-Anne Chabin : J’aime bien l’idée sous-jacente dans cette phrase : ce qui engage et nécessite un archivage (mise en sécurité) est l’échange de documents numériques ou d’informations (dans le sens où un mail est un document). Et aussi le constat que la solution du problème réside en bonne part dans la formation des collaborateurs aux risques.

Traitements, processus, documents

Cartographier les traitements de données personnelles

11 mai 2017

En lien avec le Règlement européen, la CNIL incite les entreprises à faire une cartographie de leurs traitements.

Commentaire de Marie-Anne Chabin

Le RGDP donne l’image d’un rouleau compresseur qui va mettre à plat toute la gestion de l’information en entreprise. Il est clair que l’impact du Règlement sera énorme mais tout n’est peut-être pas non plus à réinventer au plan méthodologique. Il faudrait en priorité creuser

  1. d’une part la relation processus/traitement (cartographie de processus) et
  2. d’autre part la relation ensemble de données/documents (référentiel de conservation).