RGPD ET FUITE DE DONNÉES PERSONNELLES
Vol, Hacking, faute de sécurisation, etc.
Préambule
Vous savez combien Pictopagina est sensible sur le sujet du RGPD, et s’attache à ce que ses clients soient conformes.
C’est un deal gagnant/gagnant.
Ohhh, j’entends déjà certains me rétorquer : « Mais en quoi suis-je concerné par ce sujet ?«
Et là je vous réponds, que si vous êtes un particulier, c’est de votre sécurité dont il est question, et si vous êtes un professionnel, ce sujet vous mettra en garde et vous préparera à adopter les bonnes pratiques.
Pas convaincu d’être concerné par le sujet ?
Le 20 mai 2021, sur France 2, l’émission Cash Investigation dresse un constat effroyable… nous sommes sans cesse traqués… voir la vidéo ci-contre, malheureusement incomplète car sur une chaîne non officielle (voir le Replay de France 2 tant qu’il est dispo) du documentaire :
« Cash Investigation Nos données personnelles valent de l’or »
Brrrrrr…. ça fait froid dans le dos…
1- SENSIBILISATION DU PUBLIC AU RGPD
Si une bonne partie des visites sur le site Pictopagina le sont issues d’une recherche par le mot « RGPD » (CF. Google Analytics), le public apparait peu sensible au sujet de ce RGPD.
Pourtant, ce dernier est en vigueur depuis le 25 mai 2018 !
Quand je dis « public », il s’agit aussi bien du public des professionnels, que celui des particuliers :
– Public des Professionnels, parce qu’ils se doivent d’être en conformité.
Au risque de se voir infliger de lourdes amendes.
– Public des Particuliers, parce que la sécurité de leurs données personnelles est en jeu.
Il suffit de se référer aux 20 millions de comptes Facebook Français, qui sont dispo sur un forum de hackers (parmi les 533 millions de comptes qui ont « fuité » en 2019).
Pour info, j’ai un compte Facebook dont je ne me sers quasiment pas (mais en tant que professionnel il faut en avoir un) et pan, je suis concerné par cette fuite sur une de mes adresses mails et sur un numéro de téléphone… Comme quoi, on a beau être pro d’un sujet, la non-conformité des uns peut entrainer l’intégrité de la sécurité des autres
EXERCICE DE SENSIBILISATION (SEO et YOUTUBE)
Je vais me livrer ici à un petit exercice de SEO (référencement naturel).
Je viens donc de vous dire, que le public était peu sensibilisé au sujet du RGPD.
Nb : Plusieurs fois le mot RGPD dans cette page, va faire que ce mot RGPD va se transformer en mot nuage pour Google… et hop…
Malheureusement, ce mot n’attire pas autant le public, que d’autres mots, d’autres recherches.
Il suffit de regarder le (faible) nombre de vues de mes vidéos sur youtube pour s’en convaincre (lien de ma chaîne Youtube)
Voici maintenant, le coeur de cet exercice de SEO (pour tenter de mieux référencer cette page).
Faites des recherches de vidéos youtube avec des mots tels : Aya Nakamura, Jul, Maitre Gims, morning routine, try on haul, etc…
Une recherche dans youtube avec les mots « vidéos populaires », vous donnera un aperçu de ce dont je veux vous parler..
Des centaines, voire des millions de vues, pour des sujets… futiles…
Peu de vues pour des sujets…utiles…
Pas convaincu par mes propos ?
Testez ce lien : JE TRIE MON DRESSING + DRESSING TOUR * extreme * || Léna Situations
Édifiant, quant au nombre de vues, et quant au nombre d’abonné(e)s… !
J’avoue humblement, que dans ce chapitre j’ai volontairement inséré beaucoup de termes « putaclic ».
2- LES FUITES DE DONNÉES
Voici un exemple typique de vidéo utile, mais qui ne trouve pas de public, et pourtant…
Au 21/05/2021, le seul pouce « j’aime » de cette vidéo, est le mien.
Alors que l’organisme PECB dispense des formations plus que pertinentes.
Voyez le peu de public dans la salle.
Nb : Certes, ils auraient pu prévoir un micro « mobile » à donner aux spectateurs, afin que leur discours soit audible…
Mais bon… c’est ça aussi, le monde d’aujourd’hui…
3- VIOLATION DE DONNÉES – DÉFINITION ET OBLIGATIONS
La page spéciale RGPD sur ce site : https://www.pictopagina.com/le-reglement-rgdp-et-ses-implications/ vous donne déjà bon nombre d’indications.
Définition : CNIL – Qu’est-ce qu’une violation de données ?
L’article 4.12 du RGPD définit une violation de données à caractère personnel comme : une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.
Il s’agit de tout incident de sécurité, d’origine malveillante ou non et se produisant de manière intentionnelle ou non, ayant comme conséquence de compromettre l’intégrité, la confidentialité ou la disponibilité de données personnelles.
Exemples :
- suppression accidentelle de données médicales conservées par un établissement de santé et non sauvegardées par ailleurs ;
- perte d’une clef USB non sécurisée contenant une copie de la base clients d’une société ;
- introduction malveillante dans une base de données scolaires et modification des résultats obtenus par les élèves.
Obligation de mise en place de mesures appropriées
La CNIL nous informe des ici de ces obligations : https://www.cnil.fr/fr/les-violations-de-donnees-personnelles
Un registre de Violation de Données doit être transmis à la CNIL sous 72h.
Certes, ce délai de 72h peut sembler court, et il l’est.
Le temps de comprendre ce qu’il s’est passé (la fuite), de rassembler les éléments pouvant vous prendre plus que ces 72h.
Que doit-on faire en cas de Violation des données ?
Là encore, la réponse de la CNIL est claire : Les obligations des responsables du traitement concernant les violations de données personnelles, et notamment leur notification à la CNIL et aux personnes concernées, sont définies aux articles 33 et 34 du RGPD.
Comment notifier la Violation de Données ?
Là encore, la CNIL nous informe : https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles
En ce cas, il sera utile d’envoyer une première déclaration (sous 72h donc), puis d’envoyer ensuite une déclaration plus détaillée :
– Quels types de Données (persos, sensibles, etc.)
– Quel type de fuite (hacking, vol, manque de sécurisation, etc.)
– Comment les Données ont-elles fuité (informatique, papier, tiers, sous-traitants, etc.)
– Qui est impacté par cette fuite (public, particuliers, professionnels, etc.)
– Etc.
Bonus :
Lien du Registre de Violation de Données à compléter : https://www.pictopagina.com/files/CNIL_Formulaire_Notification_de_Violations.pdf
Lorsque l’on voit avec quelle peu d’importance, certaines sociétés font fi de toutes obligations concernant la protection de nos Données Personnelles, puis de s’apercevoir que ces données sont sources d’insécurité, il est évident que le sujet de la Violation des Données Personnelles au sein du Règlement Européen RGPD, revêt une importance capitale.
Mais là encore, mon discours sera t-il entendu ????