Fiches pratiques Argent. Protéger les données personnelles, accompagner l'innovation, préserver les libertés individuelles Contenu Le refus de crédit en questions 13 mars 2014 Vous avez demandé un crédit et on vous l’a refusé ? Vous êtes inscrit dans un fichier géré par la Banque de France ou un fichier tenu par votre banque ? Quelles sont les différentes démarches à effectuer ? La CNIL vous aide à y voir plus clair. Mon chèque a été refusé à la caisse d’un magasin : pourquoi ?
Guide banque - crédit. Un site marchand peut-il conserver mes données bancaires ? Combien de temps les données bancaires peuvent-elles être conservées? Les données bancaires doivent être supprimées une fois la transaction effectuée. Cette exigence est destinée à limiter les cas d’utilisation frauduleuse des numéros de cartes bancaires. À quelles conditions un site marchand peut-il néanmoins conserver mes données bancaires? Oui, Les sites marchands peuvent conserver ces données à condition qu'ils aient recueilli votre accord exprès et qu’ils vous informent de l’objectif poursuivi.
Cet accord nécessite une démarche active de votre part. Pour la matérialiser sur une boutique en ligne, il est conseillé d'utiliser par exemple une case à cocher. La conservation du numéro de carte bancaire ne doit pas constituer une condition d'utilisation du service. En plus du numéro de carte bancaire, il faut souvent fournir les trois chiffres du cryptogramme visuel situé au dos de la carte. Non, il s’agit d’un dispositif récent dénommé "3D Secure".
Deux nouveaux guides sécurité pour gérer les risques sur la vie privée. La loi informatique et libertés prévoit, dans son article 34, de "prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données". Chaque responsable doit donc identifier les risques engendrés par son traitement avant de déterminer les moyens adéquats pour les réduire.
Pour ce faire, il convient d'adopter une vision globale et d'étudier les conséquences sur les personnes concernées. Pour aider les PME dans cette étude, la CNIL a publié en 2010 un premier guide sécurité. Celui-ci présente sous forme de fiches thématiques les précautions élémentaires à mettre en place pour améliorer la sécurité d'un traitement de données à caractère personnel. Il atteint cependant ses limites lorsqu'il s'agit d'étudier des traitements complexes ou aux risques élevés. Ils se composent : L'enjeu : proposer un outil méthodologique pour appliquer la Loi informatique et libertés et des mesures pour traiter les risques. Biométrie : quelle déclaration pour quel fichier ?
Les dispositifs biométriques pour l'accès aux cantines scolaires. De quoi s'agit-t-il ? Il s’agit d’un dispositif fondé sur la reconnaissance de particularités physiques d’une personne qu’on appelle des données biométriques. Les données biométriques les plus connues sont les empreintes digitales, mais on peut également citer l’iris de l’œil, la reconnaissance vocale, et le contour de la main. Le système dont nous parlons repose ou la reconnaissance du contour de la main.Tous ces dispositifs doivent être autorisés par la CNIL avant leur mise en œuvre. Concrètement, comment fonctionne ce système ? Le système installé par l’établissement scolaire de votre enfant contrôle l’accès des élèves au restaurant scolaire. Une borne d’accès, située à l’entrée du restaurant, est reliée à un lecteur biométrique, qui contient une base de données dans laquelle figurent les « gabarits biométriques », c’est-à-dire, l’image de la main de chaque élève.
Lors de chaque passage, l’élève saisit son code personnel puis place sa main sur l’appareil de lecture. ATTENTION ! Oui. Sécurité du SI. La notification des violations de données à caractère personnel. Cette obligation de notification a été transposée en droit français à l'article 34 bis de la loi informatique et libertés. Les conditions de sa mise en œuvre ont été précisées par le décret n° 2012-436 du 30 mars 2012, ainsi que par le règlement européen n° 611/2013 du 24 juin 2013. Dans quels cas l'article 34 bis s'applique-t-il ? L'article 34 bis de la loi informatique et libertés s'applique lorsque plusieurs conditions sont réunies : condition 1 : il faut qu'un traitement de données à caractère personnel ait été mis en œuvrecondition 2 : le traitement doit être mis en oeuvre par un fournisseur de services de communications électroniquescondition 3 : dans le cadre de son activité de fourniture de services de communications électroniques (par exemple, lors de la fourniture de son service de téléphonie ou d'accès à d'internet)condition 4 : ce traitement a fait l'objet d'une violation.
Sont, par exemple, constitutifs d'une violation : Quand et comment notifier la CNIL ? 10 conseils pour la sécurité de votre système d’information. 1. Adopter une politique de mot de passe rigoureuse L’accès à un poste de travail informatique ou à un fichier par identifiant et mot de passe est la première des protections. Le mot de passe doit être individuel, difficile à deviner et rester secret. Il ne doit donc être écrit sur aucun support. La DSI ou le responsable informatique devra mettre en place une politique de gestion des mots de passe rigoureuse : un mot de passe doit comporter au minimum 8 caractères incluant chiffres, lettres et caractères spéciaux et doit être renouvelé fréquemment (par exemple tous les 3 mois). 2. L’accès aux postes de travail et aux applications doit s’effectuer à l’aide de comptes utilisateurs nominatifs, et non « génériques » (compta1, compta2…), afin de pouvoir éventuellement être capables de tracer les actions faites sur un fichier et, ainsi, de responsabiliser l’ensemble des intervenants. 3. 4. 5. 6.
Un système d’information doit être sécurisé vis-à-vis des attaques extérieures. 7. 8. 9. 10. Vidéosurveillance. Questions-Réponses. Oui. Aucun texte n’interdit à un employeur d’installer des caméras de surveillance dans son entreprise à condition bien sûr que cette installation soit motivée par des raisons de sécurité concernant des personnes et des biens. De plus, si le système prévoit un enregistrement des images sur support numérique, il devra déclarer son dispositif à la CNIL puisque dans ce cas, cela relève de la loi « informatique et libertés ».
Il y a toutefois des restrictions : l’employeur ne peut pas installer de caméras dans les vestiaires, les douches, ou les toilettes d’une entreprise ou dans tout autre endroit. Ce serait une atteinte à l’intimité de la vie privée des salariés. De manière générale, la réponse est non. En revanche, la surveillance d’un poste de travail peut être possible compte tenu d’un risque particulier (par exemple pour un salarié qui travaille sur une machine dangereuse ou à un guichet où l’argent est manipulé). Oui, il doit absolument informer chaque salarié. Travail. Le contrôle de l'utilisation d’internet et de la messagerie. L’employeur peut fixer les conditions et limites de l’utilisation d’internet. Ces limites ne constituent pas, en soi, une atteinte à la vie privée des salariés. Par exemple : L’employeur peut mettre en place des dispositifs de filtrage de sites non autorisés (sites à caractère pornographique, pédophile, d’incitation à la haine raciale, révisionnistes, etc.).
Il peut également fixer des limites dictées par l’exigence de sécurité de l’organisme, telles que l’interdiction de télécharger des logiciels, l’interdiction de se connecter à un forum ou d’utiliser le « chat », l’interdiction d’accéder à une boîte aux lettres personnelle par internet compte tenu des risques de virus qu’un tel accès est susceptible de présenter, etc. Nécessité d’informer les salariés Les salariés doivent être informés des dispositifs mis en place et des modalités de contrôle de l’utilisation d’internet : Le comité d’entreprise doit avoir été consulté et informé (article L2323-32 du code du travail); Comment déclarer ? La biométrie sur les lieux de travail. Tous les dispositifs de reconnaissance biométrique sont soumis à autorisation préalable de la CNIL quel que soit le procédé technique retenu (contour ou forme de la main, empreinte digitale...).
Il appartient à chaque organisme d’adresser une demande d’autorisation à la CNIL. Sauf trois cas de figure précisés ci-après, chaque application fait l’objet d’un examen au cas par cas, en fonction notamment de la caractéristique biométrique utilisée. Des formalités allégées pour certains dispositifs biométriques Afin de faciliter les formalités, la Commission a défini un cadre, appelé autorisation unique, applicable à certains dispositifs biométriques. Le principe est le suivant : lorsque, par exemple, un employeur souhaite mettre en oeuvre un dispositif biométrique qui répond aux conditions définies dans ce cadre, il peut bénéficier d’une procédure simplifiée. Il lui suffit alors d’adresser à la CNIL une simple déclaration de conformité. l’empreinte digitale est une biométrie à « trace ».
Les conseils de la CNIL pour mieux maîtriser la publication de photos. 1. Adaptez le type de photos au site sur lequel vous les publiez Certains espaces de publication et partage de photos sont totalement publics et ne permettent pas de restreindre la visibilité des photos (par exemple Instagram). Il est important d'avoir conscience que les photos qui y sont partagées sont alors accessibles à tout le monde et d'adapter le contenu en conséquence. Evitez d'utiliser la même photo de profil sur des sites ayant des finalités différentes (Facebook, Viadéo ou LinkedIn, Meetic). La photo pouvant être utilisée (moteur de recherche d'images) pour faire le lien entre les différents profils. 2. Limitez l'accès aux photos que vous publiez sur les réseaux sociaux ll est important de bien définir dans les paramètres de confidentialité quel groupe d'amis a accès à quelle photo ou à quel album photo. 3.
Il n'est pas anodin de publier une photo gênante de ses amis ou de soi-même sur un réseau social. 4. 5. 6. 7. 8. 9. Comment effacer des informations me concernant sur un moteur de recherche ? Un moteur de recherche permet d'obtenir une liste de pages internet comportant un mot-clé ou une expression saisie par son utilisateur. Un moteur de recherche répond quasi instantanément à plusieurs centaines de millions de demandes par jour.
En pratique, un moteur de recherche est un robot qui balaie et "indexe" tous les contenus qu'il trouve sur internet. Il ne maîtrise pas le contenu des pages qu'il référence. Pour faire supprimer d’un moteur de recherche une page comportant des informations vous concernant, il faut donc avant tout Soit faire supprimer ces informations du site d’origine. Dans les deux cas, le responsable du site d’origine est votre interlocuteur. Première étape : contacter le responsable du site d’origine Vous trouverez des éléments d'information sur son identité dans les mentions légales ou les conditions générales d'utilisation du site. Pour vous aider à formuler votre demande, la CNIL met à votre disposition un modèle de courrier à adresser au responsable de site.
Conservation des données de trafic : hot-spots wi-fi, cybercafés, employeurs, quelles obligations ? Les « données de trafic », qu’est-ce que c’est ? Les « données de trafic » sont les informations techniques générées par l’utilisation des réseaux de communications tels qu’internet. Il s’agit par exemple de l’adresse IP de l’ordinateur (n° identifiant chaque ordinateur connecté à internet) utilisé, de la date, de l’heure et de la durée de chaque connexion ou encore des informations permettant d’identifier le destinataire d’une communication (par exemple le numéro de téléphone appelé). En principe, ces informations doivent être effacées ou rendues anonymes. Cependant, certains textes législatifs et réglementaires permettent de déroger à cette règle et imposent au contraire de les conserver dans le but de permettre la recherche et la poursuite des infractions pénales.
Le propriétaire d’un cybercafé est-il tenu de conserver les données de trafic de ses clients ? OUI. Ils doivent conserver les données techniques pendant un an à compter de leur enregistrement. Attention ! Non. Les smartphones en questions. Peut-on être pisté lorsqu'on utilise un Smartphone ou certaines applications ? Les Smartphones récents sont pratiquement tous équipés d'une puce GPS. Il est ainsi techniquement possible de pister un téléphone. Il existe par exemple des applications permettant de localiser très précisément son téléphone en cas de perte, celui-ci transmettant des e-mails avec ses coordonnées GPS. La localisation permise est très précise.
Néanmoins ces applications doivent être installées et activées par les utilisateurs, ce qui réduit le risque d'une utilisation malveillante. Quels sont les autres risques encourus lors de l'utilisation d'applications ou de services sur un Smartphone ? Il existe un risque de vol d'informations personnelles (localisation, mails, contacts, pièces jointes, ..) si l'utilisateur installe des applications malveillantes qui accèdent aux données du téléphone. Que faire pour se prémunir de ces risques ?
Que font les fabricants pour protéger les utilisateurs ? Identité numérique. Le numéro de Sécurité Sociale. Je vais payer en caisse d’un magasin : quels contrôles ? Un site marchand peut-il conserver mes données bancaires ? Combien de temps les données bancaires peuvent-elles être conservées? Les données bancaires doivent être supprimées une fois la transaction effectuée. Cette exigence est destinée à limiter les cas d’utilisation frauduleuse des numéros de cartes bancaires. À quelles conditions un site marchand peut-il néanmoins conserver mes données bancaires? Oui, Les sites marchands peuvent conserver ces données à condition qu'ils aient recueilli votre accord exprès et qu’ils vous informent de l’objectif poursuivi.
Cet accord nécessite une démarche active de votre part. La conservation du numéro de carte bancaire ne doit pas constituer une condition d'utilisation du service. En plus du numéro de carte bancaire, il faut souvent fournir les trois chiffres du cryptogramme visuel situé au dos de la carte. Dans le but de se prémunir contre les fraudes, un site marchand peut vous demander le cryptogramme visuel de votre carte bancaire. Non, il s’agit d’un dispositif récent dénommé "3D Secure". L'usurpation d'identité en questions. Recommandation de la CNIL sur l'utilisation du numéro de carte bancaire dans le secteur de la vente à distance.