background preloader

CNIL

Facebook Twitter

Etude de droit comparé sur les correspondants à la protection des données - CNIL - Commission nationale de l'informatique et des libertés. Le projet de loi modifiant la loi de 1978 (article 22) prévoit, à la suite de l’adoption par le Sénat d’un amendement présenté par M. Alex Türk, rapporteur de la commission des lois, la possibilité pour les entreprises ou collectivités publiques, la possibilité de la désignation d’un « correspondant à la protection des données à caractère personnel » (CPD). Dans ce contexte, il est intéressant de considérer quelques systèmes existants sur ce sujet dans les autres pays de l’Union Européenne, afin d’en connaître les caractéristiques. 1. Désignation obligatoire ou facultative du CPD En Allemagne L’Allemagne a une grande expérience de ce système, qui préexistait largement à l’adoption de la directive 95/46, laquelle s’est d’ailleurs inspiré de l’expérience allemande sur ce point.

Dans le secteur privé : - si le responsable de traitement emploie au moins 5 personnes pour traiter des données personnelles de manière automatisée (ou au moins 20 personnes pour des traitements non-automatisés) 2. 3. Le contrôle de l'utilisation d’internet et de la messagerie. L’employeur peut fixer les conditions et limites de l’utilisation d’internet. Ces limites ne constituent pas, en soi, une atteinte à la vie privée des salariés. Par exemple : L’employeur peut mettre en place des dispositifs de filtrage de sites non autorisés (sites à caractère pornographique, pédophile, d’incitation à la haine raciale, révisionnistes, etc.). Il peut également fixer des limites dictées par l’exigence de sécurité de l’organisme, telles que l’interdiction de télécharger des logiciels, l’interdiction de se connecter à un forum ou d’utiliser le « chat », l’interdiction d’accéder à une boîte aux lettres personnelle par internet compte tenu des risques de virus qu’un tel accès est susceptible de présenter, etc.

Nécessité d’informer les salariés Les salariés doivent être informés des dispositifs mis en place et des modalités de contrôle de l’utilisation d’internet : Le comité d’entreprise doit avoir été consulté et informé (article L2323-32 du code du travail); Comment déclarer ? Les smartphones en questions. Peut-on être pisté lorsqu'on utilise un Smartphone ou certaines applications ? Les Smartphones récents sont pratiquement tous équipés d'une puce GPS.

Il est ainsi techniquement possible de pister un téléphone. Il existe par exemple des applications permettant de localiser très précisément son téléphone en cas de perte, celui-ci transmettant des e-mails avec ses coordonnées GPS. La localisation permise est très précise. Quels sont les autres risques encourus lors de l'utilisation d'applications ou de services sur un Smartphone ? Il existe un risque de vol d'informations personnelles (localisation, mails, contacts, pièces jointes, ..) si l'utilisateur installe des applications malveillantes qui accèdent aux données du téléphone. Que faire pour se prémunir de ces risques ? Que font les fabricants pour protéger les utilisateurs ? Quelle est la spécificité des Blackberrys, téléphones les plus répandus dans le monde professionnel, par rapport aux autres Smartphones ? Peut-on accéder à l’ordinateur d’un salarié en vacances ?

Un administrateur réseau a-t-il le droit de communiquer à son employeur la liste des identifiants/mots de passe de ses employés ? NON. Même si les fichiers contenus dans un ordinateur ont un caractère professionnel, et peuvent à ce titre être consultés par l'employeur, un administrateur réseau ne doit pas communiquer de manière systématique l’ensemble des identifiants et des mots de passe des salariés de l’entreprise. Les mots de passes sont personnels et permettent de savoir ce qu’un utilisateur donné à pu faire sur le réseau de l’entreprise. Le fait d'utiliser le mot de passe de quelqu'un d'autre peut être préjudiciable au salarié.

Toutefois, les tribunaux considèrent que la communication du mot de passe d’un salarié à son employeur est possible dans certains cas particuliers. Dans quels cas particuliers un employeur peut-il obtenir le mot de passe d'un salarié ? L’employeur peut-il consulter l'intégralité du contenu d'un poste de travail? Comment mettre en place des règles ? Keylogger : des dispositifs de cybersurveillance particulièrement intrusifs.

Les " keyloggers " sont des dispositifs de surveillance, parfois téléchargeables gratuitement depuis le web, qui se lancent automatiquement à chaque démarrage de la session de l'utilisateur, à son insu. Une fois lancés, ils permettent, selon les versions, d'enregistrer toutes les actions effectuées par les salariés sur leur poste informatique sans que ceux-ci s'en aperçoivent.

Toute frappe saisie sur le clavier ou tout écran consulté est enregistré avec un horodatage. Des alertes peuvent être automatiquement envoyées à la personne ayant installé le dispositif lorsque le salarié ainsi surveillé saisit sur son clavier un mot prédéterminé. Selon son paramétrage, le dispositif permet également de générer des rapports, récapitulant l'ensemble des actions faites à partir d'un poste informatique, qui sont directement envoyés sur le poste informatique de celui qui aura installé le logiciel espion.

10 conseils pour la sécurité de votre système d’information. 1. Adopter une politique de mot de passe rigoureuse L’accès à un poste de travail informatique ou à un fichier par identifiant et mot de passe est la première des protections. Le mot de passe doit être individuel, difficile à deviner et rester secret. Il ne doit donc être écrit sur aucun support. La DSI ou le responsable informatique devra mettre en place une politique de gestion des mots de passe rigoureuse : un mot de passe doit comporter au minimum 8 caractères incluant chiffres, lettres et caractères spéciaux et doit être renouvelé fréquemment (par exemple tous les 3 mois). Le système doit contraindre l’utilisateur à choisir un mot de passe différent des trois qu’il a utilisés précédemment.

Généralement attribué par l’administrateur du système, le mot de passe doit être modifié obligatoirement par l’utilisateur dès la première connexion. 2. 3. 4. 5. . « A noter » : l’administrateur systèmes et réseau n’est pas forcément habilité à accéder à l’ensemble des données de l’organisme. 6. Dispense n° 17 - Délibération n°2012-184 du 7 juin 2012 dispensant de déclaration les traitements automatisés de... 07 Juin 2012 - Thème(s) : Education JORF du 13 juillet 2012, texte71 La Commission nationale de l’informatique et des libertés, Après avoir entendu M. Eric PERES, commissaire, en son rapport et Mme Elisabeth ROLIN, commissaire du Gouvernement, en ses observations ; Décide : Conformément à l’article l'article 24-II de la loi du 6 janvier 1978 modifiée, la Commission est habilitée à définir, pour les catégories les plus courantes de traitements de données à caractère personnel, celles qui sont dispensées de déclaration.

Compte tenu des finalités, des catégories de personnes concernées, des données à caractère personnel traitées, de la durée de conservation de celles-ci et des destinataires des traitements de données à caractère personnel relatifs à la gestion administrative, comptable et pédagogique des écoles et des établissements d'enseignement secondaire des secteurs public et privé, la Commission considère que ceux-ci peuvent faire l’objet d’une telle dispense de déclaration. Article 1er. La CNIL encadre le déchiffrement des flux HTTPS. Destiné à assurer la confidentialité et l’intégrité des communications de bout en bout entre un client et un serveur, l’usage du protocole HTTPS peut « poser un problème de sécurité au sein des organismes », qui ont par là même légitimité à déchiffrer les flux ainsi protégés pour les analyser.

Telle est la position de la CNIL (Commission nationale de l’informatique et des libertés). L’autorité administrative indépendante reconnaît que le chiffrement des canaux de communication en HTTPS – déclinaison sécurisée de HTTP encapsulé à l’aide du protocole TLS – est « de plus en plus préconisé et mis en œuvre » (banque en ligne, webmails, téléservices…). Elle recommande d’ailleurs son utilisation pour réduire les risques liés à l’interception de données, que ce soit pour les écouter et les modifier. Problème : ce mécanisme est a priori incompatible avec d’autres exigences de sécurité complémentaires visant à inspecter le contenu des échanges. A lire aussi : BYOD : les conseils de la CNIL. Le BYOD doit rester « subsidiaire » Depuis des années, la tendance est lourde : le BYOD se développe bien plus rapidement en Asie et sur le continent américain qu’en Europe.

Une situation qui s’explique par différents facteurs : habitude de fournir un appareil à l’employé, problème juridique, séparation des données privées et professionnelles, travail en-dehors des heures de travail, etc. Et au regard de la fiche pratique de la CNIL, on comprend mieux les raisons de ces difficultés. L’autorité administrative indépendante française divise sa fiche en sept points. Sans même lire le développement, le titre nous indique d’emblée le caractère limité du BYOD. Des conseils de base toujours judicieux La CNIL n’est pas anti-BYOD pour autant, sinon elle n’aborderait pas le sujet de cette façon. La commission rajoute qu’il est important : Bref, le b.a. La question majeure du respect de la vie privée Le cinquième point abordé par la CNIL est par contre plus complexe, mais tout aussi important.

Page 25 - Cnil-guide travail.