L’exercice du droit d’information sur un traitement, et en particulier en ce qui concerne les destinataires des données (RGPD art.15.c) mérite une attention particulière aujourd’hui. En effet, la CJUE a été saisie d’une affaire à ce sujet, et l’avocat général a requis une interprétation stricte du texte, à l’avantage des personnes concernées : La règle demande à produire la liste exhaustive des destinataires des données, et non seulement la liste des catégories de destinataires.
Le référentiel SecNumCloud d’exigences pour le Cloud va vers une nouvelle version
Mi-septembre était publiée une note de la Direction Numérique de l’État à tous les Secrétaires Généraux des Ministères. Elle s’appuie sur deux références : la circulaire 6282-SG du 5 juillet 2021 relative à la doctrine d’utilisation de l’informatique en nuage par l’État et sur le référentiel d’exigences SecNumCloud de l’ANSSI, complété par une exigence d’immunisation contre les réglementations extra-communautaires. Aujourd’hui c’est justement ce référentiel qui est mis à jour dans ce sens par l’ANSSI, pour appel public à commentaires. Voyons de quoi il en retourne, et où l’arrêt Schrems II continue ses vagues sur le recours à des prestataires non-UE.
Les sous-traitants face à l’exercice des droits d’une personne concernée
L’article 12 du RGPD indique que « le responsable du traitement facilite l’exercice des droits conférés à la personne concernée » alors que son article 28.3.e indique que le sous-traitant est concerné via le contrat le liant au responsable du traitement. Une nouvelle décision de l’autorité espagnole (AEPD) vient préciser les obligations incombant directement au sous-traitant. Vous découvrirez dans cet article le rôle exact du sous-traitant en matière d’exercice des droits…
Est-ce que le Père Noël nécessite une analyse d’impact ?
Les cadeaux de Noël c’est quoi au juste ? Ce sont des millions d’enfants qui écrivent au Père Noël pour lui indiquer leurs souhaits les plus intimes, c’est une liste des enfants qui ont et n’ont pas été sages, avec leur adresse, leur âge, etc. Voilà donc un cas d’école qu’il ne faut pas négliger en matière de protection des données.
Situation de crise Covid-19 et sécurité des données
La situation actuelle se transforme à grande vitesse en une situation de crise. Que les organisations soient exposées directement ou indirectement, les conséquences sont certaines, et les incidences sur la sécurité des systèmes d’information à mesurer.
Vous êtes DPO ou RSSI, ce n’est pas le moment de relâcher votre attention, bien au contraire. Ces situations sont typiquement celles qui créent de nouvelles vulnérabilités ou pour voir des menaces se rapprocher (panne, virus, actes malveillants…). Voici donc quelques idées de bon sens à garder en mémoire :
Handicap, consentement, droits fondamentaux et protection des données à caractère personnel
Le Règlement Général sur la Protection des Données protège les droits et libertés fondamentaux des personnes physiques, en particulier des catégories les plus vulnérables d’entre nous (RGPD considérant 75). Dans le cadre de personnes handicapées (personnes âgées démentes, handicap intellectuel ou psychique lourd… ou même situations moins lourdes), la Convention des Nations Unies sur les droits des personnes handicapées (CDPH) détermine ces droits particuliers, très intéressants en ce qui concerne le consentement (RGPD art.7).
Voici donc un rappel de certains articles que je juge pertinents dans ce contexte :
Le registre des traitements, responsable de traitement vs sous-traitant
Les 4 vérités sur la certification RGPD
Du statut des cookies dans le cadre de la protection de la vie privée
Le consentement que l’utilisateur d’un site Internet doit donner pour le placement et la consultation de cookies sur son équipement n’est pas valablement donné au moyen d’une case cochée par défaut que cet utilisateur doit décocher pour refuser de donner son consentement. La manifestation de volonté de l’utilisateur doit être spécifique, le fait d’activer le bouton de participation au service proposé par la société ne suffit pas à considérer que l’utilisateur a valablement donné son consentement au placement des cookies.
RGPD et recrutement : découvrez ce qui change pour votre cabinet !
(…)
Vous n’y pensiez peut être pas, mais les processus de recrutement permettent de collecter de nombreuses données à caractère personnel : nom, prénom, adresse, adresse email, numéro de téléphone etc… et, tant qu’à faire, la CNIL (…) a prévu d’axer ses premiers contrôles sur cette procédure ! Afin d’éviter tout risque – réputationnel, financier, juridique – qui découlerait d’un manquement au RGPD, découvrez les principaux points du RGPD qui s’appliquent au processus de recrutement déployé au sein de votre cabinet d’expertise-comptable !
Un article d’Amélie CARO, consultante RGPD pour PiaLab et diplômée d’expertise comptable, publié sur le site Compta Online…