Scroll to top

RGPD La sécurité des données ne prend pas de vacances, les amendes non plus

Mise en place en mai 2018, le Règlement Général de la Protection des Données Personnelles exige de garantir la sécurisation et la confidentialité de vos données à caractère personnel. Pendant l’été et la canicule, la CNIL veille au grain et les amendes pleuvent, la jurisprudence publie ses décisions. Vous trouverez dans cet article un « digest » des actualités de juillet 2019.

Une amende de 180 000 euros pour défaut de protection des données et mots de passe pour une société d’assurances

Que reproche la CNIL à cette société d’assurance ? Sur son site internet, les prospects et les clients peuvent demander des devis, souscrire une assurance automobile, en créant leur espace personnel. En juin 2018, un client signale à la CNIL qu’il pouvait accéder aux DCP, données à caractère personnel d’autres clients internautes en modifiant seulement l’URL dans la barre d’adresse. De même ; certains liens hypertextes diffusés dans les moteurs de recherche pouvaient donner le même accès à des documents tels que permis de conduire, relevés d’identité bancaire, cartes grises, infractions et délits de fuite ou retraits de permis…

Des actions correctives ont été effectuées après l’avertissement de la CNIL à la société d’assurance. Cependant, lors du contrôle, il s’avère que les mesures prises ne sont pas suffisantes au niveau référencement ainsi que la sécurisation du mot de passe. Ce dernier était transmis en clair, par mail à l’internaute qui avait créé son espace personnel : le format imposé par la société était composé par la date de naissance du client !

La formation restreinte de la CNIL a donc considéré que cette société d’assurance automobile a manqué à son obligation de sécurisation des DCP au titre de l’article 30 du RGPD. Elle a donc prononcé une sanction publique avec une amende de 180 000 euros. En tant qu’Autorité de protection et organisme de conseils, La CNIL préconise les dispositions suivantes :

  • Revoir les habilitations d’accès aux dossiers et informations
  • Renforcer la protection du référencement par les moteurs de recherche dans les codes du fichier « robot.txt ».
  • Proposer une politique de protection des mots de passe plus robuste et surtout ne pas les transmettre en clair.

Pour aller plus loin sur cette sanction publique.

Bonne nouvelle : La CNIL simplifie son modèle de registre de traitement des données personnelles

Faire simple, c’est compliqué ! Vous l’aviez trouvé « indigeste et imbuvable », La CNIL vous a entendus ! Le modèle proposé sur le site de l’Autorité de Protection des Données à caractère personnel a été simplifié : format ouvert et personnalisé. Profitez des vacances pour mettre à jour la conformité de vos documents de traitements des DCP. Il peut s’adapter à toutes les situations, à vous de le personnaliser.

Pour rappel, l’article 30 du RGPD précise l’obligation de constituer et tenir le registre à jour. Les informations suivantes doivent y figurer :

  • Quelles sont les parties prenantes qui effectuent des traitements des DCP dans votre organisation ?
  • Quels sont les habilitations et accès aux données ? A qui sont communiquées ces DCP ?
  • Quelles sont les adéquations effectives ?
  • Quelles sont les catégories des DCP traitées ?
  • Quelles sont les finalités de ces traitements ?
  • Combien de temps ces DCP sont-elles conservées ?
  • Quelles sont les mesures techniques et organisationnelles effectives pour sécuriser les DCP collectées ?
  • Quelles sont les clauses particulières des sous-traitants ?

Cet outil demeure essentiel pour la conformité de votre organisation. Selon l’importance des traitements, à grande échelle ou avec des données sensibles, le recrutement d’un DPO/DPD, personne déléguée à la protection des DCP peut s’avérer nécessaire.

Pour aller plus loin ou approfondir le registre des traitements des DCP et télécharger le modèle de registre.

RGPD Nouvelles règles de consentement des cookies !

Dans sa délibération n°2019-093 du 4 juillet 2019, La CNIL publie de nouvelles lignes directives concernant les cookies et autres traceurs de votre navigation sur les sites internet. Cela vise les « opérations de lecture ou écriture dans le terminal de l’utilisateur ».

Premièrement, la simple poursuite de la navigation sur le site web ne vaut pas pour consentement valide. Le RGPD a précisé par ailleurs que celui-ci doit résulter d’une action « volontaire et éclairée » de l’internaute. Deuxièmement, les opérateurs de ces traceurs doivent être en capacité de prouver que le consentement a bien été effectivement recueilli.

Pour aller plus loin et lire l’article détaillé.

D’autres articles très pertinents vous attendent sur le site de la CNIL : la sécurité et la confidentialité des données personnelles ne prennent pas de vacances. La vigilance est de mise.

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

quinze − 5 =

Obtenez le guide directement dans votre boîte e-mail





Obtenez le guide RGPD