Dans les zones des entreprises fortement fréquentées, quelle sera la politique pour assurer la sécurité des salariés et du public accueilli, et la traçabilité des cas contact ?
Pour nos salariés disposant de terminaux numériques, devons-nous imposer, laisser faire ou refuser l’application StopCovid ?
Attestation de sortie dérogatoire, QRCode et protection des données personnelles, nous avons testé pour vous
Aujourd’hui, en plein confinement pour lutter contre le Covid-19 et alors que de lourdes questions se posent sur le traçage numérique (« Contact Tracing ») de la population pour sortir du confinement, est sortie l’attestation de sortie dérogatoire numérique, sur base de QRCode. Il faut noter que, depuis des années, les tentations de l’État Français de surveiller la population est toujours plus forte. Cette concomitance entre les réflexions sur le Contact Tracing et l’attestation numérique n’a rien pour rassurer.
Retrouvez le résultat de nos investigations…
Situation de crise Covid-19 et sécurité des données
La situation actuelle se transforme à grande vitesse en une situation de crise. Que les organisations soient exposées directement ou indirectement, les conséquences sont certaines, et les incidences sur la sécurité des systèmes d’information à mesurer.
Vous êtes DPO ou RSSI, ce n’est pas le moment de relâcher votre attention, bien au contraire. Ces situations sont typiquement celles qui créent de nouvelles vulnérabilités ou pour voir des menaces se rapprocher (panne, virus, actes malveillants…). Voici donc quelques idées de bon sens à garder en mémoire :
Handicap, consentement, droits fondamentaux et protection des données à caractère personnel
Le Règlement Général sur la Protection des Données protège les droits et libertés fondamentaux des personnes physiques, en particulier des catégories les plus vulnérables d’entre nous (RGPD considérant 75). Dans le cadre de personnes handicapées (personnes âgées démentes, handicap intellectuel ou psychique lourd… ou même situations moins lourdes), la Convention des Nations Unies sur les droits des personnes handicapées (CDPH) détermine ces droits particuliers, très intéressants en ce qui concerne le consentement (RGPD art.7).
Voici donc un rappel de certains articles que je juge pertinents dans ce contexte :
Le registre des traitements, responsable de traitement vs sous-traitant
Les 4 vérités sur la certification RGPD
Data Protection by Design, explications
Du statut des cookies dans le cadre de la protection de la vie privée
Le consentement que l’utilisateur d’un site Internet doit donner pour le placement et la consultation de cookies sur son équipement n’est pas valablement donné au moyen d’une case cochée par défaut que cet utilisateur doit décocher pour refuser de donner son consentement. La manifestation de volonté de l’utilisateur doit être spécifique, le fait d’activer le bouton de participation au service proposé par la société ne suffit pas à considérer que l’utilisateur a valablement donné son consentement au placement des cookies.
DPIA : quand et comment réaliser une analyse d’impact sur la protection des données
Aujourd’hui niveau #RGPD, il semblerait que beaucoup de responsables de traitement (RT) sous-estiment les critères déclenchant la nécessité de réaliser une analyse d’impact sur la protection des données (RGPD art.35). Bien souvent, quand un RT décide de mener une #DPIA simple (RGPD art.35), il devrait sans doute l’avoir déjà faite et maintenant procéder à la consultation préalable de son autorité de contrôle (ex: la #CNIL en France ; RGPD art.36). Je vous propose donc de rendre compte ici de l’état des connaissances à ce sujet :
L’intérêt légitime : le nouveau cheval de bataille des exploitants de données personnelles
Alors que Google Inc. a écopé d’une amende administrative de 50 millions d’€uros par la CNIL, la firme pourrait tenter l’approche « intérêt légitime » pour légaliser leur laxisme dans le respect de la loi (cf. la délibération de la CNIL dans cette affaire) au moment de leur potentiel recours face au Conseil d’État.