Etude de droit comparé sur les correspondants à la protection des données - CNIL - Commission nationale de l'informatique et des libertés. Le projet de loi modifiant la loi de 1978 (article 22) prévoit, à la suite de l’adoption par le Sénat d’un amendement présenté par M.
Alex Türk, rapporteur de la commission des lois, la possibilité pour les entreprises ou collectivités publiques, la possibilité de la désignation d’un « correspondant à la protection des données à caractère personnel » (CPD). Dans ce contexte, il est intéressant de considérer quelques systèmes existants sur ce sujet dans les autres pays de l’Union Européenne, afin d’en connaître les caractéristiques. 1. Désignation obligatoire ou facultative du CPD. Le contrôle de l'utilisation d’internet et de la messagerie. L’employeur peut fixer les conditions et limites de l’utilisation d’internet.
Ces limites ne constituent pas, en soi, une atteinte à la vie privée des salariés. Par exemple : L’employeur peut mettre en place des dispositifs de filtrage de sites non autorisés (sites à caractère pornographique, pédophile, d’incitation à la haine raciale, révisionnistes, etc.). Il peut également fixer des limites dictées par l’exigence de sécurité de l’organisme, telles que l’interdiction de télécharger des logiciels, l’interdiction de se connecter à un forum ou d’utiliser le « chat », l’interdiction d’accéder à une boîte aux lettres personnelle par internet compte tenu des risques de virus qu’un tel accès est susceptible de présenter, etc.
Les smartphones en questions. Peut-on être pisté lorsqu'on utilise un Smartphone ou certaines applications ?
Les Smartphones récents sont pratiquement tous équipés d'une puce GPS. Il est ainsi techniquement possible de pister un téléphone. Peut-on accéder à l’ordinateur d’un salarié en vacances ? Un administrateur réseau a-t-il le droit de communiquer à son employeur la liste des identifiants/mots de passe de ses employés ?
NON. Même si les fichiers contenus dans un ordinateur ont un caractère professionnel, et peuvent à ce titre être consultés par l'employeur, un administrateur réseau ne doit pas communiquer de manière systématique l’ensemble des identifiants et des mots de passe des salariés de l’entreprise. Les mots de passes sont personnels et permettent de savoir ce qu’un utilisateur donné à pu faire sur le réseau de l’entreprise. Le fait d'utiliser le mot de passe de quelqu'un d'autre peut être préjudiciable au salarié. Toutefois, les tribunaux considèrent que la communication du mot de passe d’un salarié à son employeur est possible dans certains cas particuliers. Keylogger : des dispositifs de cybersurveillance particulièrement intrusifs.
Les " keyloggers " sont des dispositifs de surveillance, parfois téléchargeables gratuitement depuis le web, qui se lancent automatiquement à chaque démarrage de la session de l'utilisateur, à son insu.
Une fois lancés, ils permettent, selon les versions, d'enregistrer toutes les actions effectuées par les salariés sur leur poste informatique sans que ceux-ci s'en aperçoivent. Toute frappe saisie sur le clavier ou tout écran consulté est enregistré avec un horodatage. Des alertes peuvent être automatiquement envoyées à la personne ayant installé le dispositif lorsque le salarié ainsi surveillé saisit sur son clavier un mot prédéterminé. Selon son paramétrage, le dispositif permet également de générer des rapports, récapitulant l'ensemble des actions faites à partir d'un poste informatique, qui sont directement envoyés sur le poste informatique de celui qui aura installé le logiciel espion.
10 conseils pour la sécurité de votre système d’information. 1.
Adopter une politique de mot de passe rigoureuse L’accès à un poste de travail informatique ou à un fichier par identifiant et mot de passe est la première des protections. Le mot de passe doit être individuel, difficile à deviner et rester secret. Il ne doit donc être écrit sur aucun support. La DSI ou le responsable informatique devra mettre en place une politique de gestion des mots de passe rigoureuse : un mot de passe doit comporter au minimum 8 caractères incluant chiffres, lettres et caractères spéciaux et doit être renouvelé fréquemment (par exemple tous les 3 mois). Dispense n° 17 - Délibération n°2012-184 du 7 juin 2012 dispensant de déclaration les traitements automatisés de...
07 Juin 2012 - Thème(s) : Education JORF du 13 juillet 2012, texte71 La Commission nationale de l’informatique et des libertés, Après avoir entendu M.
Eric PERES, commissaire, en son rapport et Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations ; Décide : La CNIL encadre le déchiffrement des flux HTTPS. Destiné à assurer la confidentialité et l’intégrité des communications de bout en bout entre un client et un serveur, l’usage du protocole HTTPS peut « poser un problème de sécurité au sein des organismes », qui ont par là même légitimité à déchiffrer les flux ainsi protégés pour les analyser.
Telle est la position de la CNIL (Commission nationale de l’informatique et des libertés). L’autorité administrative indépendante reconnaît que le chiffrement des canaux de communication en HTTPS – déclinaison sécurisée de HTTP encapsulé à l’aide du protocole TLS – est « de plus en plus préconisé et mis en œuvre » (banque en ligne, webmails, téléservices…). Elle recommande d’ailleurs son utilisation pour réduire les risques liés à l’interception de données, que ce soit pour les écouter et les modifier. Problème : ce mécanisme est a priori incompatible avec d’autres exigences de sécurité complémentaires visant à inspecter le contenu des échanges.
BYOD : les conseils de la CNIL. Le BYOD doit rester « subsidiaire » Depuis des années, la tendance est lourde : le BYOD se développe bien plus rapidement en Asie et sur le continent américain qu’en Europe.
Une situation qui s’explique par différents facteurs : habitude de fournir un appareil à l’employé, problème juridique, séparation des données privées et professionnelles, travail en-dehors des heures de travail, etc. Page 25 - Cnil-guide travail.