RGPD : la CNIL veut instaurer un vrai acte de consentement des internautes qui acceptent cookies et traceurs

Étiquettes

acte, AFCPD, application, autorité, cadre, cadre de référence, CNIL, consentement, données, DPO, entreprise, informatique, internautes, organisme, Plateforme, protection, protection des données, référence, recommandations, recueil, RGPD, site

La CNIL actualise ses cadres de référence et prépare une nouvelle recommandation qui précisera et renforcera les modalités de recueil du consentement aux cookies.

En matière de recueil du consentement pour les cookies et autres traceurs, la réglementation se peaufine, et la Commission nationale de l’informatique et des libertés (CNIL) a même décidé de prendre un peu d’avance. Le gendarme des données a adopté des lignes directrices, le 4 juillet, faisant suite à son plan d’action détaillé le 28 juin dernier. La Commission souhaite renforcer le recueil du consentement des utilisateurs.

La CNIL veut remplacer (et durcir) une précédente recommandation devenue obsolète avec le RGPD

Si le gendarme des données avait adopté, en 2013, une recommandation pour guider les opérateurs dans l’application de l’article 82 de la loi « Informatiques et Libertés », qui prévoit l’obligation de recueillir le consentement des utilisateurs, celle-ci n’était plus compatible avec les dispositions du RGPD, entré en vigueur le 25 mai 2018, et a désormais été abrogée.

Depuis, la CNIL a défini les bases de sa future recommandation, qui viendra définir les modalités pratiques de recueil du consentement, sans attendre le futur règlement européen « vie privée et communications électroniques », qui ne devrait pas entrer en application avant un moment. C’est ainsi que l’autorité propose de discuter de la façon dont les sites, plateformes et opérateurs, vont devoir obtenir le consentement de leurs utilisateurs.

Lire la suite →

Piratage informatique : « On n’est jamais assez préparé », alerte une experte en cybersécurité

Étiquettes

adresse, adresse électronique, adresse web, ANSSI, applications, attaque, audit, cyberattaque, cybersécurité, entreprise, fichiers, guide, hacker, hackeur éthique, informatique, logiciels, mot de passe, organisme, piratage, Plateforme, protection, protection des données, protection des informations, RGPD, sauvegarde, sécurité, sécurité informatique, sensibilisation

Les récentes attaques informatiques contre des grandes entreprises ou des organismes d’État interrogent sur le niveau de sécurité de ces plateformes.
Playstation, le ministère des Affaires étrangères, Uber ou la Nasa plus récemment. Les récents exemples de piratages sont légion, qu’ils concernent des organismes d’État ou les plus grandes entreprises mondiales. Cette multitude d’attaques interroge sur le niveau de protection de ces adresses web ultra-fréquentées. Julie Gommes, experte en cybersécurité se penche sur la question.

Lire la suite →

RGPD et DPO : la liste des compétences est longue et le nombre de profils insuffisant

Étiquettes

amende, CNIL, collecte, compétences, conformité, contrôle, délégué à la protection des données, DPO, Europe, juridique, profil, protection, protection des données, règlement, référentiel de compétences, réputation, RGPD, risque, sécurité, société, stockage, UE, Union européenne, utilisation

Ce diaporama nécessite JavaScript.

Le RGPD est entré en vigueur depuis plus de 5 mois et le ratio du nombre d’entreprises en conformité serait encore faible (inférieur à 25%) en France, si l’on en croit différentes études récentes et non-officielles.

On sait en revanche que la CNIL, garante de la protection des données des citoyens français, a reçu 13 000 déclarations de DPO, soit seulement 16% des 80 000 estimées nécessaires. Le Délégué à la Protection des Données est pourtant considéré par la CNIL comme la clé de voûte de la conformité au règlement européen.

Pour mémoire, le RGPD est la nouvelle réglementation mise en place le 25 mai 2018 par l’Union Européenne pour contraindre toutes les organisations à garantir leur contrôle sur la collecte, le stockage et l’utilisation des données à caractère personnel des ressortissants européens. Les conséquences peuvent être très lourdes pour les entreprises, avec des amendes pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial. Sans compter bien sûr le risque sur la réputation de la société, sa perte de clientèle, les frais de procédures en cas de plaintes, etc.

https://www.silicon.fr/avis-expert/rgpd-et-dpo-la-liste-des-competences-est-longue-et-le-nombre-de-profils-insuffisant?inf_by=5c27ed62671db8a8078b4827

Source : Silicon via  Tweet de @SEDPOM_RGPD : https://twitter.com/SEDPOM_RGPD/status/1060807359046520832?s=09

A consulter également :

Cybersécurité, RGPD… : quels seront les principaux risques auxquels les entreprises seront confrontées en 2019 ?

Au l’endemain du RGPD, où en est le marché ?

Les données personnelles en entreprise : Le délégué à la protection des données comme garant de leur sécurité

Data Protection Officer : un gardien pour les données personnelles

Portrait Hélene Legras DPO AREVA « Le DPO est plus un profil du savoir être que du savoir faire »

GDPR : Il faut siffler la fin de la récrée, il est temps que le DSI reprenne son autorité !

RGPD, le dossier pour tout comprendre

La compliance et la réglementation dans l’environnement européen

Étiquettes

4ème Directive, 5ème Directive, AFA, audit, autorités, évaluation, évolution, blanchiment de capitaux, CNIL, compliance, contrôle, corruption, culture, délinquance, délinquance financière, due diligence, entreprise, Europe, fraude, fusion, fusion-acquisition, garanties, géopolitique, image de marque, infraction, judiciaire, législation, loi Sapin2, négociation, perte, règles, réchauffement, réchauffement climatique, régulateur, réputation, RGPD, Risques, RSE, sanctions, sévérité, tendance, transparence, transparence financière

 

 

 

 

 

 

 

Fusion-Acquisition « Le risque d’exposition pour des fautes commises par le passé par la société cible et le coût potentiel de leur réparation sont aujourd’hui plus que jamais des sujets importants. »

 

La publication de la sixième édition de l’étude CMS, en partenariat avec Mergermarket, sur les tendances 2018 de l’activité européenne en matière de fusion-acquisition est l’occasion de revenir sur les évolutions européennes récentes en matière de compliance, au sens large du terme, et d’identifier quelques tendances.

Une réglementation en matière de compliance qui s’intensifie
En Europe, ces dernières années, la réglementation visant à lutter contre la délinquance financière dans les entreprises, comme la corruption, le blanchiment d’argent ou toute autre forme de fraude, s’est enrichie de nouvelles règles ciblées s’accompagnant de sanctions de plus en plus sévères. Par ailleurs, il existe une coopération plus étroite entre les autorités de régulation et les autorités judiciaires, et ce aussi bien au sein des différents pays européens qu’entre les pays eux-mêmes. Cette coopération entre les pays s’étend d’ailleurs au-delà de l’Europe. Ainsi, dans la perspective d’un prochain Brexit, dont nous ne connaissons toujours pas les termes, il conviendra que le Royaume-Uni et l’Union européenne réfléchissent rapidement aux procédures à mettre en oeuvre afin de poursuivre cette coopération.
La quatrième directive antiblanchiment, qui a dû être transposée par les Etats membres de l’Union européenne au plus tard le 26 juin 2017, était une réponse directe aux manipulations financières et aux transferts illicites de fonds. Cependant, dès mai 2018, le Parlement européen a adopté une cinquième directive antiblanchiment, poursuivant ainsi son objectif de lutte contre le blanchiment de capitaux et le financement du terrorisme. Cet exemple montre bien que le dispositif législatif n’est pas stabilisé et que l’on peut s’attendre à ce que les changements normatifs se poursuivent au cours des prochaines années.

…

Lire la suite →

Les hôtels Marriott touchés par un piratage massif, 500 millions de clients concernés

Étiquettes

banque, carte bancaire, CB, cryptologie, données personnelles, données sensibles, fusion-acquisition, groupe, hotel, informations, informatique, logiciels, Marriott, piratage, pirates informatiques, réservation, RGPD, sécurité, violation

Présentation de plusieurs points de vue, à titre de sensibilisation, démontrant que rien n’est simple en matière de protection des données.

Vous participez à une opération de fusion-acquisition ? Assurez-vous que les systèmes et outils informatiques que vous conserverez, que vous utiliserez de manière indépendante ou que vous interfacerez avec vos propres systèmes , n’auront pas, d’une part, fait l’objet de violations et, d’autre part, qu’il est mis en oeuvre toutes les sécurités nécessaires tant vis-à-vis de l’interne que de l’externe. 

The full scope of the failure was not immediately clear. Marriott was trying to determine if the records included duplicates, such as a single person staying multiple times.
The affected hotel brands were operated by Starwood before it was acquired by Marriott in 2016. They include W Hotels, St. Regis, Sheraton, Westin, Element, Aloft, The Luxury Collection, Le Méridien and Four Points. Starwood-branded timeshare properties were also affected. None of the Marriott-branded chains were threatened.

Lire la suite →

Données personnelles : les plaintes à la Cnil ont augmenté de 34%

Étiquettes

CNIL, données, entreprise, France, fuite, gendarme, obligations, particulier, plainte, protection, protection des données, RGPD, signalement

L’entrée en vigueur le 25 mai dernier du nouveau règlement européen sur la protection des données (RGPD) a donné un coup de fouet aux plaintes déposées devant la Cnil, selon les chiffres diffusés vendredi par le gendarme français des données personnelles.

La Cnil (Commission nationale de l’informatique et des libertés) a reçu 9.700 plaintes depuis le début de l’année, soit 34% de plus que l’an dernier à la même époque. Six mille de ces plaintes ont été déposées après l’entrée en vigueur du RGPD, a précisé la Cnil. Le nouveau texte européen conforte les droits des internautes européens sur la protection de leurs données personnelles. Il impose de nouvelles obligations aux entreprises en matière de traitement des données, sous peine de sanctions pouvant aller jusqu’à 20 millions d’euros et 4% du chiffre d’affaires. Depuis son entrée en vigueur, la Cnil a également vu « augmenter significativement » les signalements de fuites de données par les entreprises, signalements rendus obligatoires par le RGPD.

…

Source : Le Figaro.fr http://www.lefigaro.fr/flash-eco/2018/11/23/97002-20181123FILWWW00252-donnees-personnelles-les-plaintes-a-la-cnil-ont-augmente-de-34.php?utm_source=app&utm_medium=sms&utm_campaign=fr.playsoft.lefigarov3

 

A consulter également :

https://resilienceducontroleinterne.wordpress.com/2018/10/19/donnees-personnelles-la-cnil-met-cinq-assureurs-en-demeure/

https://resilienceducontroleinterne.wordpress.com/2016/04/09/la-cnil-tres-favorable-au-chiffrement-des-donnees/

https://resilienceducontroleinterne.wordpress.com/2018/04/01/les-donnees-personnelles-en-entreprise-le-delegue-a-la-protection-des-donnees-comme-garant-de-leur-securite/

https://resilienceducontroleinterne.wordpress.com/2017/12/14/data-protection-officer-un-gardien-pour-les-donnees-personnelles/

https://resilienceducontroleinterne.wordpress.com/2017/08/26/la-protection-des-donnees-dans-le-monde/

https://resilienceducontroleinterne.wordpress.com/2017/04/30/vers-une-certification-europeenne-en-matiere-de-protection-des-donnees/

Les Défis Cyber : question de stratégie

Étiquettes

aide à la décision, analyse, audit interne, clé USB, CNIL, conformité, contrôle interne, courriel, cryptologie, cyberattaque, cybersécurité, données, données critiques, données personnelles, données sensibles, entreprise, faille, formation, gestion, gouvernance, grand groupe, habilitations, impact, imperméabilité, informatique, innovation, intrusion, liberté, management, mot de passe, numérique, PME, Privacy Impact Assessment, protection, ransomwares, RGPD, Risques, sécurité, sensibilisation, stratégie, technologie, virus

ANALYSE ET GESTION DES RISQUES SONT LES MAÎTRES MOTS!

« Toute atteinte massive aux données à caractère personnel constitue une grande faille pour les entreprises et la confiance collective dans l’économie numérisée », a lancé Gwendal Le Grand, directeur des technologies et de l’innovation de la Cnil, lors des Défis Cyber organisés récemment, à Paris, par Option Finance et ses partenaires.

Cet événement, à destination tant des grands groupes que des PME, a rassemblé plus de 150 professionnels, risks managers, auditeurs, assureurs, investisseurs, spécialistes de la sécurité informatique, avocats et associations, afin de sensibiliser l’entreprise aux risques de cyberattaques.

La cybersécurité est un sujet on ne peut plus business. Au début du mois, la grande firme américaine Google annonçait qu’elle fermait Google+ après la découverte d’une faille de sécurité ayant affecté les données d’au moins 500 000 utilisateurs.
Avec son approche managériale et technique mais aussi financière, la deuxième édition des Défis Cyber, a été ouverte par un intervenant de choix : Gwendal Le Grand, directeur des technologies et de l’innovation de la Commission nationale de l’informatique et des libertés (Cnil).

Analyse d’impact et gestion des risques

…

Source : Clusif via Affiches parisiennes https://www.affiches-parisiennes.com/les-defis-Cyber-question-de-strategie-8403.html

A consulter également :

https://resilienceducontroleinterne.wordpress.com/2018/11/16/la-cybersecurite-israelienne-est-la-meilleure-du-monde/

https://resilienceducontroleinterne.wordpress.com/2018/11/14/les-trois-pays-qui-refusent-de-signer-lappel-mondial-pour-lutter-contre-les-cyberattaques/

https://resilienceducontroleinterne.wordpress.com/2018/08/06/retour-sur-la-Conference-CIO-SECURITE-de-lentreprise-Etendue-CYBERCRIMINALITE/

https://resilienceducontroleinterne.wordpress.com/2018/07/01/le-guide-complet-de-la-cybersecurite-pour-les-petites-et-moyennes-entreprises-2018/

https://resilienceducontroleinterne.wordpress.com/2018/04/01/cybersecurite-gare-a-lillusion-de-securite/

https://resilienceducontroleinterne.wordpress.com/2018/03/31/cybersecurite-recruter-des-profils-techniques-pour-sensibiliser-les-employes-est-une-erreur/

https://resilienceducontroleinterne.wordpress.com/2017/08/04/gestion-des-risques-assurance-des-cyber-risques-quelle-couverture-adopter/

 

Offrir la cybersécurité pour tous ?

Étiquettes

AFCDP, anonymat, avatar, échanges, cession, CNIL, cyberattaque, cybercriminalité, cyberdéfense, données, données personnelles, gratuité, informations, informations personnelles, MySudo, paiement, RGPD, sécurité, utilisateurs, virtualité

Avoir la possibilité de céder ses données personnelles pour accéder gratuitement au service ou le payer en échange de l’anonymat ?

L’application MySudo permet à ses utilisateurs de générer des avatars virtuels, dotés chacun d’un email et d’un numéro de téléphone, pour éviter de céder leurs informations personnelles en ligne.

…

Source : La Tribune San Francisco via MSN Actualités https://a.msn.com/r/2/BBPqJd3?m=fr-fr&referrerID=InAppShare

 

A consulter également :

Les Japonais tentés par l’exploitation commerciale de données personnelles

Le smartphone, maillon faible de la sécurité informatique

Cybercriminalité : la lutte s’internationalise

Cybersécurité : gare à l’illusion de sécurité !

Bruxelles pose les bases d’un marché unique des données

Sur internet, les historiques de navigation ne sont jamais tout à fait anonymes

 

Cybersécurité, RGPD… : quels seront les principaux risques auxquels les entreprises seront confrontées en 2019 ?

Étiquettes

AFCDP, audit interne, automatisation, catégorie, chaîne logistique, CNIL, communication, conformité, contrôle interne, cyberrisque, cybersécurité, données, DPO, DSI, entreprises, environnement durable, gouvernance, IFACI, informatique, infrastructure, logiciels, logistique, numérique, ouverture, protection des données, réputation, RGPD, risque, risques environnementaux, risques sociaux, RSE, RSSI, technologie, type

Les zones et les types de risques ont-ils changés ? Oui et non.

Mais qui dit « ouverture » et « communication » interactives avec le monde extérieur entraîne un élargissement des zones et des types de risques, mais implique aussi, en raison des progrès rapides de la technologie, l’existence d’un « spectre » bien plus élargi.

Vous pouvez penser que les principales attaques concernent le monde de la finance, ce qui, à première vue, vous paraîtrait le plus rentable pour les pirates.

Et bien sachez qu’en 2017, l’utilisation de virus pour infiltrer les logiciels de gestion de la chaîne logistique des entreprises avait déjà augmenté de 200%.

Attention! Se focaliser sur les cyberrisques, c’est bien; mais il faut au préalable revoir l’infrastructure informatique de votre entité, afin  de mettre en place une protection efficace et efficiente.

Outre la cybersécurité, il faut également prendre en compte la protection des données (application du RGPD) et l’environnement durable en termes de risques sociaux (RSE).

Enfin, n’omettons pas le risque de réputation, qui peut avoir une répercussion considérable à différents niveaux pour toute entité.

DANGERS – Une enquête menée auprès des professionnels de l’audit interne montre que la cybersécurité et la protection des données seront de gros risques pour les entreprises européennes l’an prochain.

A l’heure du tout numérique et de la mondialisation, les problématiques et les préoccupations des entreprises changent. Et certaines, inexistantes il y a 10 ans, deviennent maintenant des sujets majeurs. Une étude « Risk in focus », menée par l’IFACI (Institut français de l’audit et du contrôle internes) auprès des professionnels de l’audit travaillant dans des organisations de toute l’Europe, dresse ainsi la liste des principaux risques auxquels les entreprises des secteurs privé et public devraient être confrontées en 2019.

…

Source : LCI https://www.lci.fr/emploi/cybersecurite-rgpd-quels-sont-les-principaux-risques-auxquels-les-entreprises-seront-confrontees-en-2019-2100187.html

 

A consulter également :

IMPLANTER UNE VERITABLE CULTURE DU RISQUE AU SEIN DES ENTITES !

A conversation about risk with a CEO — Norman Marks on Governance, Risk Management, and Audit

Be the Future of Internal Auditing

Entretien avec Jean-Marie Pivard, vice-président de l’Ifaci

Cybersecurity and the role of internal audit

Au l’endemain du RGPD, où en est le marché ?

Étiquettes

benchmarking, charte, collectivités, communication, conformité, contrôle interne, données, DPO, droits, entreprise, juridique, privé, protection, règlementation, RGPD, risque, Secteur public, stratégie, UE

Pour certains, c’est la rentrée professionnelle lundi prochain et pour les autres la continuité a repris son cours depuis peut-être un mois.

Quoi qu’il en soit, il s’avère instructif de disposer d’une image fiable d’un sujet d’actualité: le RGPD (Règlement Général sur la Protection des Données).

En conséquence, je porte à votre connaissance les résultats du benchmark réalisé et commenté par Wavestone sur leur blog Riskinsight. Pour ma part, cette communication a retenu mon attention, car au lieu d’adresser un questionnaire aux entités retenues, les auteurs de ce benchmark ont agi en utilisateurs.

Il en ressort qu’il reste encore beaucoup à faire en externe vers la clientèle et, ce que je suppose, dans l’organisation interne (un prochain benchmark est prévu pour ce dernier point) des entreprises privées et publiques.

Il y a bien sûr une partie juridique, informationnelle et de communication, mais, à mon avis, la partie la plus importante qui devait être vu en premier, bien avant l’échéance de mai 2018, c’est les volets technique et organisationnel au sein de chaque entité.

Petit point de détail, mais qui a son importance : une charte c’est bien, mais ce n’est pas suffisant. Qu’en est-il du collaborateur mobile qui affiche et utilise des données sensibles dans des lieux publics (transports en commun…) ou qui énonce oralement des informations (données) dans ces mêmes lieux ? Ou tout simplement l’édition papier d’un listing client traînant sur un bureau ou jeté tel quel dans une simple poubelle.

Le RGPD est un sujet d’actualité y compris pour le grand public ! Notamment depuis l’envoi de nombreux e-mails dans le courant du mois de mai. Il est question de nouvelles chartes, de consentement, de droits, de DPO, etc. Toute cette effervescence génère de nombreuses questions : quelles stratégies de communication ont été utilisées ? Comment les consentements sont-ils gérés ? Comment les entreprises répondent-elles aux demandes d’exercice de droits ?
Nous avons mené un benchmark afin d’évaluer comment les entreprises ont interagi avec le grand public Pour cela, un panel d’une trentaine d’entreprises dont les services sont régulièrement utilisés par le grand public a été sondé avec les comptes personnels des auteurs. https://www.riskinsight-wavestone.com/2018/07/au-lendemain-du-rgpd-ou-en-est-le-marche/

 

A consulter également :

Personnification et identité auto-souveraine : deux pistes pour sortir de l’ornière du RGPD — Actus à la une

« Il ne faut pas voir le RGPD comme un couperet en 2018 », Isabelle Falque-Pierrotin

RGPD, le dossier pour tout comprendre

L’Assemblée nationale a inscrit la « protection » des données personnelles dans la Constitution