Catégorie dans Sous-traitant

Site Web et Traceurs en ligne : mise en conformité avec la nouvelle politique de la CNIL avant le mois d’avril sous peine de sanction.

Lorsqu’ils visitent un site web, les utilisateurs doivent être informés et donner leur consentement explicite et éclairé préalablement au dépôt ou la lecture de cookies ou autres traceurs, à moins que ces traceurs ne bénéficient d’une des exemptions prévues par l’article 82 de la loi Informatique et Libertés

Ne vous contentez pas des recommandations faites il y a plus de 6 mois par votre cabinet d’avocat. Les bonnes pratiques évoluent et demandent comme souvent à revoir ses process de documentation et d’information périodiquement.

Si vous souhaitez avoir un audit ainsi qu’une analyse détaillée de votre site web, nous avons préparé un pack tout en un composé d’une analyse détaillée des 100 premières pages de votre site web avec le nombre de Cookies par page ainsi que le détail des Cookies strictement nécessaires, analytiques, fonctionnels ou de ciblage mais également les balises et formulaires collectant des données personnelles. Nous établissons ensuite des recommandations quant aux actions correctives à éventuellement mettre en place.

Le Pack « Conformité Web » est disponible au prix de 500 € HT par domaine (pour 100 pages). Nous pouvons également vous proposer un contrat annuel de « Veille » qui inclut ce pack et vous permettrait de toujours vous maintenir à jour avec l’évolution de la réglementation internationale. Contactez-nous !

Pour rappel, IPAxess est « TIH » ce qui veut dire que vous pouvez déduire jusqu’à 30 % de cette facture de vos Obligation d’Emploi en Travailleurs Handicapés si votre organisation est soumise à celle-ci (plus de 20 salariés).

La CNIL communique son programme de contrôles prioritaires pour 2021 : Cybersécurité, données de santé, cookies

En complément des contrôles faisant suite à des plaintes ou en lien avec l’actualité dans le contexte de la crise sanitaire, la CNIL orientera ses actions de contrôles autour de trois thématiques prioritaires en 2021 : la cybersécurité des sites web, la sécurité des données de santé et l’utilisation des cookies.

Pour plus de détails :

https://www.cnil.fr/fr/cybersecurite-donnees-de-sante-cookies-les-thematiques-prioritaires-de-controle-en-2021

De nouvelles sanctions de la CNIL pour défaut de notification par des médecins

Pour information, de nouvelles sanctions de la CNIL sont tombées la semaine dernière envers 2 médecins pour défaut de notification de violation de données : des amendes de 3 000 et 6 000 Euros. Les médecins n’ont pas compris car ils avaient été prévenus par la CNIL de cette brèche dans leur réseau. Cependant ils n’ont pas respecté l’obligation de notifier formellement la CNIL et donc de documenter cette violation de données personnelles sensibles. C’est pour cette raison qu’ils ont été sanctionnés.

https://www.cnil.fr/fr/violations-de-donnees-de-sante-la-cnil-sanctionne-deux-medecins

Le Conseil d’Etat confirme la sanction de la CNIL envers la SERGIC

Une fuite d’information due à une mauvaise sécurisation du site web de la SERGIC donnait libre accès aux fiches de paie, justificatifs d’identité etc.. des candidats au logement. La CNIL a prévenu la SERGIC qui n’a pas colmaté cette brèche une semaine plus tard. La CNIL a donc infligé une amende de 400 000 € et une publication de la sanction pendant 2 ans. Le Conseil d’Etat rejette l’appel de la SERGIC. Ce faisant, il confirme que « le prononcé d’une sanction par la formation restreinte de la CNIL n’est pas subordonné à l’intervention préalable d’une mise en demeure du responsable du traitement ou de son sous-traitant par le président de la CNIL. »

https://www.legifrance.gouv.fr/ceta/id/CETATEXT000042499856?isSuggest=true

La CNIL publie des questions-réponses concernant le télétravail

Voici quelques exemples de questions traitées mais vous trouverez l’intégralité des Q&R en suivant le lien de bas de page :

L’employeur peut-il contrôler l’activité des salariés en télétravail ?

Oui, si cela ne porte pas atteinte aux droits et libertés des salariés et en respectant certaines règles.

Le télétravail n’étant qu’une modalité d’organisation de travail, l’employeur conserve, au même titre que lorsque le travail est effectué sur site, le pouvoir d’encadrer et de contrôler l’exécution des tâches confiées à son salarié.

Néanmoins, si le pouvoir de contrôle de l’employeur est une contrepartie normale et inhérente au contrat de travail, les juridictions ont rappelé de manière constante que ce pouvoir ne saurait être exercé de manière excessive.

L’employeur doit donc toujours justifier que les dispositifs mis en œuvre sont strictement proportionnés à l’objectif poursuivi et ne portent pas atteinte excessive au respect des droits et libertés des salariés, particulièrement le droit au respect de leur vie privée….

L’employeur peut-il surveiller constamment ses salariés ?

Non.

Comme tout traitement de données personnelles, un système de contrôle du temps de travail ou d’activités, qu’il s’effectue à distance ou « sur site », doit notamment :

https://www.cnil.fr/fr/les-questions-reponses-de-la-cnil-sur-le-teletravail

Quelques conseils de sécurité afin d’éviter bien des soucis…

En ces temps de propagation de virus et autres piratages en tous genres, il est utile de respecter quelques règles essentielles de prévention. Elles peuvent être classées en 3 grands types : des précautions dans l’usage des clients (portables, smartphone et autres PC/MAC…), des accès aux réseaux (internes ou Internet) et de politique de sauvegarde.

Pour ce qui est des postes clients, la première des précautions consiste à verrouiller les accès par un mot de passe robuste que l’on va changer périodiquement. Le mot de passe doit être suffisamment robuste (au moins 8 caractères avec chiffres et majuscules ainsi qu’un caractère particulier) et être unique, c’est à dire non utilisé pour d’autres accès. Pour vous aider, il existe des gestionnaires de mot de passe capables de stocker ces mots de passe et de vous aider à les générer (KeePass par exemple). Le compte utilisateur doit avoir des droits limités, il faut proscrire l’usage des droits « administrateur » pour un usage quotidien. 

Il faudra également penser à chiffrer les informations les plus sensibles afin de les protéger de toute divulgation en cas de vol. Il existe des logiciels comme « Veracrypt » capables de crypter tout ou partie de votre machine. Cela est également vrai d’un smartphone, qui en cas de vol va contenir des informations confidentielles.

Il est également essentiel de mettre à jour tous vos applicatifs et surtout vos systèmes d’exploitation. Les antivirus peuvent mener, pour certains d’entre eux, des analyses de vulnérabilité et recommander des mises à jour applicatifs. Dans tous les cas, le choix d’un antivirus est prépondérant. Certaines solutions (Crowdstrike, SentinelOne etc…) se focalisent notamment sur les « ransomwares » encore appelés « prise d’otage » ou « chantages » numériques.

Ils sont de plus en plus fréquents, le site de la CNIL stipule :

« Chantage numérique : comment s’en prémunir ?

  • Ne cliquez jamais sur les liens, ne téléchargez jamais de pièces jointes venant d’un expéditeur inconnu.
  • Choisissez des mots de passe robustes.
  • Pensez à faire des sauvegardes journalières sur un support externe déconnecté.
  • Effectuez vos mises à jour.
  • Sensibilisez votre entourage et vos collègues en vous appuyant sur les publications des experts. »

En second lieu, il faut protéger les accès aux réseaux et compartimenter le réseau local. Les Pare-feux de nouvelles générations sont capables de faire du filtrage applicatif. Une fois installés, ils pourront sécuriser les accès vers internet. On pourra alors utilement interdire la visite des sites web jugés « dangereux » ainsi que l’utilisation d’applications tels que le transfert de fichiers par BitTorrent ou même l’accès au Darkweb.

Dans la période actuelle, le télétravail est préconisé, Il est nécessaire de sécuriser les connexions à distance par le biais de tunnels virtuels chiffrés (VPN). Ces firewalls intègrent généralement la gestion des accès distants par VPN. L’ouverture de ports afin d’utiliser la Connexion « Bureau à Distance » ou « RDP » sans VPN est en effet à proscrire. Trop de PME ont vu leur activité perturbée par des actes malveillants utilisant ces ouvertures de ports RDP. Les hackers en profitent généralement pour s’infiltrer à distance sur les réseaux internes et « casser » les serveurs par jeu voire, de plus en plus, en les chiffrant et en demandant une rançon.

Ces Pare-feux pourront également utilement servir à isoler les différents services et ainsi éviter que les employés de la comptabilité aient accès aux données des Ressources Humaines par exemple. Cette isolation des données est d’ailleurs requise par la réglementation sur la protection des données personnelles.

En dernier lieu, il convient de prendre en compte la politique de sauvegarde dans son plan de Cybersécurité. La règle de 3,2,1 est préconisée : 3 sauvegardes sur 2 systèmes de sauvegarde différents et 1 totalement déconnectée des réseaux. On peut imaginer 1 sauvegarde en ligne sous forme chiffrée afin de la protéger en cas de vol, 1 sauvegarde locale et 1 dernière sur support amovible qui sera stockée en dehors des locaux ou dans un coffre-fort ignifugé.

Il faudra également se préparer à réagir en cas de crise avec un plan adhoc et une équipe désignée par avance afin de parer rapidement à la menace. La majorité des intrusions ont comme source l’utilisateur final qui par mégarde va cliquer sur un « mauvais » lien ou lancer une macro malveillante. La prévention par le biais de l’éducation des utilisateurs ainsi que les campagnes de test sont indispensables.

L’ICO inflige une méga amende à British Airways pour une faille de sécurité

L’équivalente de la CNIL Britanique, l’ICO, a l’intention d’infliger une amende de 183 Millions de Livres Sterling à British Airways pour avoir négligé la sécurité informatique des données personnelles des utilisateurs de son site web. En effet en septembre 2018, la compagnie signale que depuis juin 2018 le trafic de son site web est détourné vers un site web frauduleux récupérant les données d’environs 500 000 utilisateurs, y compris les identifiants, cartes de paiement et les détails de réservation aussi bien que les noms et adresses. L’enquête a révélé des négligences graves de la part de BT Airways.

La Responsabilité des Sous-Traitants face au RGPD

Le RGPD a en changé la donne quant aux obligations du sous-traitant et a renforcé son niveau de responsabilité.

On peut regrouper ces obligations en 4 grandes catégories :

  1. la transparence et la traçabilité des traitements (via les clauses contractuelles spécifiques, le registre des traitements, la désignation d’un DPO etc…) ;
  2. la prise en compte des principes de protection des données (licéité et minimisation de la collecte, durée de rétention, etc….) ;
  3. l’obligation de garantir la sécurité et la confidentialité des données (politique de sécurité documentée, audits et tests d’intrusion récurrents, segmentation du réseau avec droits d’accès restrictifs, registre des incidents, etc…) ;
  4. l’obligation d’assistance, de conseil et d’alerte. L’assistance se traduit par des actions à mener par le prestataire en cas d’exercice du droit des personnes (droit d’accès, modification, suppression ou limitation), de contrôle de la CNIL ou d’audit du client.

Pour remplir ses obligations, le sous-traitant en sécurité informatique doit ainsi maitriser les grands principes du RGPD afin de conseiller son client. Il faudra par exemple rappeler à ce dernier l’obligation d’informer ses salariés de la finalité du traitement de données personnelles et de leurs droits par une charte informatique. D’autre part, avant de mettre en place une solution de type « Data Leak Prevention » ou de filtrage Web, le responsable de traitement doit effectuer une Etude d’Impact sur la Vie Privée (« EIVP » ou en anglais « PIA »). Il s’agit d’une étude des risques vis-à-vis des données personnelles. En cas de risque important, le client devra en informer la CNIL et attendre son retour avant de mettre en place la solution décalant d’autant le déploiement par le prestataire. Une formation des forces de vente et des équipes techniques de celui-ci est dont indispensable. Enfin, « le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance » (Article 33 du RGPD), le responsable de traitement doit à partir de ce moment-là notifier la CNIL sous 72 heures. Le sous-traitant doit donc tenir un registre des incidents afin de se protéger et prouver qu’il a notifié le client dès qu’il a pris connaissance de la violation.

En mettant en place et gérant à distance des solutions de Cybersurveillance, les SSII en sécurité traitent forcément des données personnelles voire des données sensibles au sens du RGPD (opinions politiques, religieuses ou orientations sexuelles). Ces prestataires sont donc directement concernés par la réglementation européenne. Se pose alors la question de savoir qui porte la responsabilité ou, autrement dit, qui décide des finalités et des moyens concernant le traitement de données personnelles ? Dans certains cas précisés par la CNIL, le sous-traitant pourra être requalifié de responsable ou co-responsable de traitement notamment selon l’expertise et l’autonomie laissées au sous-traitant, d’où l’importance de bien préciser les responsabilités dans des clauses contractuelles spécifiques.

Quels sont les autres risques pour le sous-traitant en cas de manquement à ces obligations ? Ils sont de 3 ordres : d’image, administratifs et judiciaires.

  • Ce qui est nouveau avec l’application du RGPD, c’est la possibilité pour l’autorité locale d’appliquer des sanctions au responsable de traitement mais aussi au sous-traitant. Ainsi, tout comme le client final, le prestataire sous-traitant pourrait être sanctionné par la CNIL par un avertissement public qui nuirait à l’image et à la réputation de celui-ci, mais aussi par une amende pouvant aller jusqu’à 10 millions d’euros ou 10 % du C.A. mondial de l’exercice précédent.
  • En sus, un juge peut condamner un responsable de traitement ou un co-responsable de traitement (ou son responsable légal s’il s’agit d’une personne morale) à de la prison ferme (5 ans) et une amende allant jusqu’à 300 000 Euros.
  • Enfin, il y a un risque de droit civil pour demande en réparation. Une condamnation civile peut donner lieu à une nullité du contrat de vente et donc un remboursement du client (Cf. arrêt de la Cours de cassation du 25/06/2013). Dans tous les cas, cela peut s’avérer critique pour la survie du sous-traitant concerné.

En résumé, les sous-traitants ont tout intérêt à mettre en haut de leurs priorités leur conformité au RGPD ainsi que la formation de leurs équipes techniques et commerciales avant de se retrouver pris à défaut. Car ceci pourrait mettre en péril leur business en ruinant leur image, sans parler des sanctions financières. En se mettant en conformité, ils ne feraient que renforcer leurs propositions de valeurs et leurs images de professionnels de la sécurité tout en réalisant un checkup complet de leurs procédures.