Invalidation du Privacy Shield - La suite ... mais pas la fin #RGPD #DataPrivacy #DataProtection #GDPR #donnéespersonnelles #CNIL #CloudAct #PatriotAct #schrems

 

L’abrogation du Privacy Shield ne pouvait pas en rester là ( .. on attend toujours l'avis, enfin que dire l'avis, les mises en demeure de la CNIL .. ).

Devant l'inaction globale des autorités de contrôle Européenne, NYOB et Max Schrems prennent la suite logique de l'action qu'ils mènent depuis 2011.

Les articles fusent depuis l'abrogation avec des termes définissant M Schrems comme un activiste .. terme plutôt péjoratif dans les papiers des journalistes mais finalement assez juste au regard du Larousse ... car oui c'est un activiste qui suit la ligne tracée par la protection des données personnelles du Règlement Européen. 

Si on revient maintenant sur les conséquences de l'abrogation, dans les faits la grande majorité des entreprises européennes qui disposent d'un site internet sont tombées dans l'illégalité du fait même de la position dominante (pour ne pas dire monopolistique ..) de Google Analytics sur le marché qui traitent les données hors de l'Europe. (cf notre article précédent .. ) 

L'action de NOYB et de M Schrems vise désormais à faire appliquer le Règlement Européen  (c'est ce qui est clairement expliqué dans le communiqué de presse.)

https://noyb.eu/fr/101-plaintes-deposees-sur-les-transferts-ue-usa

Avant de lire le communiqué et le jugement, pour bien comprendre ce que les Américains se sont octroyés comme droits, notamment d'exploitation, sur les données personnelles des Européens, il faut lire au moins ces deux analyses :

Patriot Act - Histoire et contenu traduit en FR depuis le site History.com

et 

Le Cloud Act, des questions et des réponses depuis le site village de la justice

On comprendra mieux ce qui est en jeu ..  et on attend désormais que l’État Français, par son autorité de contrôle,  applique à la lettre les décisions de la Cour de Justice de l'Union Européenne.

Les Echos ... L'Etat choisit Microsoft pour les données de santé et crée la polémique

Pour les courageux et anglophone ... les textes originaux Cloud Act  "Chapter 121—stored wire and electronic communications and transactional records access" et Patriot Act de 2001

L'invalidation du #PrivacyShield n'est qu'une suite logique et prévisible au regard de l'invalidation du texte précédent #CNIL #RGPD #MaxSchrems #Facebook #CEPD #CJUE

L'invalidation du #"Privacy Shield", qui n'est qu'une suite logique et prévisible au regard de l'invalidation du texte précédent pose des questions qui touchent au domaine du juridique mais également de l'organisation interne des outils d'entreprise.

Cette article est à lire en complément du jugement et de la traduction par la #CNIL des FAQ du #CEPD.

https://www.toolinux.com/?annulation-du-privacy-shield-quid-de-votre-conformite-au-rgpd

Extrait :

"Cette décision n’empêche donc pas les entreprises soumises au RGPD de transférer des données à caractère personnel vers les Etats-Unis, mais elle invalide la base légale sur laquelle la grande majorité de ces transferts étaient réalisés. ..."

Mais il convient de prendre en compte que le cadre des programmes de surveillance de masse (PRISM et UPSTREAM) notamment, la réglementation américaine (Foreign Intelligence Surveillance Act et Décret présidentiel EO-12333) permet à certaines autorités publiques (FBI, NSA, CIA...) d’accéder aux données personnelles transférées à des fins commerciales (métadonnées et contenus des communications). 

Les exigences relatives à la sécurité nationale des USA invoquées (NDLR : qui peuvent être misent à toutes les "sauces", il convient de lire les documents **Act ), il se pose la question de savoir si la limitation du pouvoir conféré aux autorités publiques américaines permettait de garantir le respect d’un niveau de protection des données personnelles transférées équivalent à celui de l’UE.

Le contenu du jugement de la cour européenne qu'il faut lire avant de laisser les journalistes et autres se lancer dans les interprétations du texte :

http://curia.europa.eu/juris/document/document.jsf;jsessionid=01362DEFD1164BD0B429E49A563C5F16?text=&docid=221826&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=12639935

On rappellera que chacune des décisions de la CJUE se fonde sur le RGPD (art. 45) et sur la Charte des droits fondamentaux de l’Union européenne (art. 7, 8, 47 et 52).

Les réflexions actuelles du CEPD (en anglais) 

https://www.cnil.fr/sites/default/files/atoms/files/faq_privacy-shield-invalidation_edpb_en.pdf

Les réflexions de la CNIL (qui traduit le #CEPD) .. comme pour tout avec les informations de la #CNIL il convient de tout lire ... 

https://www.cnil.fr/fr/invalidation-du-privacy-shield-les-premieres-questions-reponses-du-cepd

avec cette petite phrase dans le texte de la CNIL

Voila on peut, après avoir lu ces textes, se lancer dans la lecture des "interprétations" du jugement de l'Affaire C‑311/18 ... 

Allez il vous reste encore à suite le fil de Max Schrems @maxschrems et attendre que la #CNIL fasse appliquer ce jugement ( Quid des données de santé de tous les français stockées sur les clouds HDS ?? ) puisque "la Cour impose au responsable du traitement ou au sous-traitant établis dans l’UE de prendre des mesures supplémentaires dans le cas où la réglementation du pays de l’importateur des données comporterait des mesures contraires aux clauses types. A défaut, le responsable du traitement ou le sous-traitant, et, à titre subsidiaire, l’autorité de contrôle compétente "sont tenus de suspendre ou de mettre fin au transfert de données vers le pays tiers concerné"." (RGPD Article 44 à 50 à relire .. ) 

Au cours du webinar de Jeudi 9 juillet ... on vous parle de #Domino V11, de Verse et de #Sametime Meeting V11.5 ! #hcldomino #hclnotes #hclsametimemeeting

Tilaune une équipe d'experts autour de #HCL #Domino et HCL #Connections ... Venez voir les nouveautés des versions de Domino et #Sametime demain le 9 juillet 2020 de 10h30 à 12h00 en vous inscrivant auprès de Marine à l'adresse bonduelle_marine@hcl.com

#WebConférence le 9 juillet 2020 : Les nouveautés de la collaboration #HCL avec #Sametime Meeting V11.5 & #Domino V11

En collaboration avec  HCL Software France, Tilaune organise un événement sur les dernières versions de Domino (v11), Sametime (v11.5) le jeudi 09 juillet 2020 de 10h30 à 12h00.

Ces nouvelles versions représentent une étape cruciale dans l'engagement de HCL à opérer un tournant stratégique sur ces solutions légendaires de la collaboration, reprises en 2019 par HCL Software lors de l’acquisition de logiciels d’IBM.

Depuis 2019 avec la reprise des produits par HCL Digital, on assiste à des évolutions majeures à un rythme soutenu.

Les événements récents ont changé le paradigme de la collaboration d’entreprise, et nos solutions, dont le développement est continu et dicté par nos retours clients, peuvent aujourd’hui vous apporter de nouvelles réponses. En outre, c’est l’occasion de vous présenter le nouveau Sametime Meeting 11 disponible depuis fin juin 2020.

Lors de cet évènement digitalisé en raison du contexte sanitaire actuel, nous vous proposons l’agenda suivant :

10h30 – 10H50 :  
o Introduction HCL & Partenaires HCL : TILAUNE, INSIGHT, ITI SOLUTIONS, THEM-IS, VMARK, Rémi Derasse, PEDAB, SPIE

10h50 – 11h20 :  
o Démonstration Domino 11, Connections 6.5 et Sametime 11.5 : Comment puis-je digitaliser la vie de mon entreprise ? 
o Sametime Version 11.5 - Démonstration et nouvelles fonctionnalités

11h20 – 11h40 :  
o Présentation des nouvelles fonctionnalités Domino 11  - utilisateur, administrateur et développeur
o Présentation des nouvelles fonctionnalités Sametime 11.5

11h40 – 12h00 : 
o Q&R : Nous sommes là pour vous répondre !

Date : Jeudi 09 juillet 2020, de 10H30 à 12H00  

Lieu : webconférence communiquée après l’inscription

Inscription : par mail à bonduelle_marine@hcl.com

Domino Volt ... un produit de développement Low Code qui redonne à HCL Domino les capacités de développement rapide sur la plate forme. #lowcode #hcl #domino #dev

HCL Domino Volt est une nouvelle capacité à "faible code" qui permet de développer facilement des applications de flux de travail puissantes, sécurisées et de qualité professionnelle. Bien qu’il fonctionne sous Domino, vous n’avez pas besoin de compétences spécialisées sous Domino ou en informatique. Vous bénéficiez de tous les avantages de la plate-forme Domino, avec une évolutivité, une fiabilité et une sécurité intégrée.

Comprendre les modèles de #Cloud (#IaaS, #PaaS, #SaaS, #CaaS, #FaaS)

Publication du rapport 2019 de la CNIL ... Les chiffres qui parlent ... #Tilaune #CNIL #Rapport #RGPD #Europe #DPO

Voila la #CNIL publie, comme tous les ans, son rapport d'activité de l'année précédente. Les chiffres parlent d'eux même ... Comparons 2018 et 2019 ... Les attaques sont en hausse constante tout comme les fuites de données. Cependant on note une stagnation des contrôles. Aurait on atteint la capacité maximale de la CNIL malgré l'augmentation de son budget ?

Le rapport de 2018 est ici et le rapport de 2019 est ici

HCL : "Le 16 juin prochain, de 11h00 a 12h00, nous organisons le tant attendu Webinar VOLT en français ! " #dominovolt #webinar #hcldomino

Inscrivez vous ici !!

HCL Domino : Introducing HCL Domino Volt #dominovolt #webinar #hcldomino

Une courte introduction pour découvrir les capacités de VOLT ... 

Pourquoi vous devriez participer aux #Ateliers #RGPD de #Tilaune

Le but des Ateliers de Tilaune est de faire comprendre ce qu'impose le RGPD dans l’entreprise, de vous donner la méthodologie d'approche et des outils qui devraient vous accompagner

1 - Comprendre le RGPD et comment l’appliquer

• Comprendre ce que le RGPD impose à votre métier
• Obtenir un texte du RGPD annoté par des juristes
• Obtenir les canaux de veille pour rester au courant
• Adhérez gratuitement à la communauté des DPO de Tilaune pour échanger sur les problématiques rencontrées

2 - Identifier et gérer les données personnelles de ses salariés et de ses clients

• Les données personnelles de l’entreprise
• Comprendre les bases légales (contrat, consentement, intérêt légitime, ... )  et comment s'y référer dans l'entreprise
• Comprendre les contrats et les données personnelles liés aux contrats
• Comprendre les risques de non conformité pour l'entreprise
• Comment répondre à une demande de communication des données personnelles
• Comprendre « pourquoi et comment » mener une PIA
• Effectuer l’évaluation régulière de conformité de l’entreprise
• Répondre à une demande d’audit de la CNIL
• Comment réaliser son auto évaluation de conformité

3 - Savoir gérer les sous-traitants

• Obtenir un guide de gestion des sous-traitant
• Obtenir les courriers "type" de demande de conformité aux sous-traitant
• Comprendre les risques de non conformité aux sous-traitant pour l'entreprise
• Evaluer le risque de non conformité de vos sous-traitant

4 - Apprendre à évaluer les actions à mettre en œuvre

• Evaluer les actions de conformité à mettre en œuvre
• Comment faire la cartographie des processus de traitement des données personnelles
• Comprendre les finalités de traitement et les informations complémentaires à collecter
• Comprendre comment collecter le consentement liés aux données personnelles
• Comprendre la sensibilisation des salariés aux données personnels
• Comprendre le registre de traitement par l'exemple
  
• Comprendre le registre de traitement de son entreprise et comment le compléter 
• Obtenir un registre de traitement en open source
  

5 - Appliquer le "privacy by default" et le "privacy by design"

• Comprendre "privacy by default" et du "privacy by design"
• Etablir une checklist liée aux « Privacy by default » et « Privacy by design »
• Comprendre ce qu'il faut mettre en œuvre dans les applications

6 - Comprendre les implications de la mise en œuvre de la cybersécurité

• Comprendre une étude de risques et l'appliquer en entreprise
• Comprendre comment établir une check-list de sécurité interne
• Comprendre et comment utiliser les normes ISO
• Comprendre les actions des sous traitants sécurité et évaluer le plan d’action de sécurisation du système d’information

Nos ateliers sont disponibles via des organismes de formation pour les financements. Vous les trouverez dans la liste de nos partenaires.

Les #ateliers de "transfert de compétence" autour du #RGPD

Les ateliers du RGPD

Nous avons mis à profit la période de confinement pour produire de nouveaux supports de transfert de compétences pour la mise en conformité.

Les ateliers gardent, essentiellement, le format d'une journée. L’atelier sur les études d’impacts sur la vie privée a été porté à 2 jours.

 

Titre	J	Contenu de l’atelier
Atelier Thématique 0	1	RGPD Les fondamentaux v2.2
Atelier Thématique 1	1	Les données personnelles, le RGPD et la fonction RH v2.3
Atelier Thématique 2	1	Les données personnelles le RGPD et les fonctions commerciales et marketing v2.3
Atelier Thématique 3	1	Données sensibles et gestion des risques v2.3
Atelier Thématique 4	1	Cybersécurité et RGPD v2.3
Atelier Thématique 5	1	Comprendre et mettre en œuvre les bonnes pratiques de sécurité de l'information de l ANSSI v1.0
Atelier Thématique 6	1	Comment organiser, gérer et piloter son projet RGPD v1.1
Atelier Thématique 7	1	Comment effectuer la collecte des données personnelles au sein de l'entreprise v1.0
Atelier Thématique 7	1	Comment réagir face aux données personnelles v1.0
Atelier Thématique 8	1	Comment se former l'essentiel pour mettre en œuvre le RGPD dans une PME TPE v1.0
Atelier Thématique 9	2	Analyse d'impact relative la protection des données (AIPD) v1.0
Atelier Thématique 10	1	ISO 27701 vs ISO 27001 v1.0
Atelier Thématique 11	1	Gestion des prestataires et des sous-traitants v1.0

Les "ransomware" restent la première menace qui se confirme dans le rapport de l'#ANSSI et dans l'infographie 2019 de #AccentureSecurity : ... Les utilisateurs sont les premiers à sensibiliser #CNIL #RGPD

L'#ANSSI confirme que les ransomware sont devenus la principale menace qui pèsent sur les entreprises.

"Un rançongiciel est un code malveillant empêchant la victime d’accéder au contenu de ses fichiers afin de lui ex-torquer de l’argent. Ce document se concentre surles rançongiciels s’appuyant sur des capacités de chiffrementde fichiers et opérés à des fins lucratives.Il en existe des centaines de variant" Rapport de l'ANSSI sur l'état de la menace Rançongiciel

 L'infographie d'Accenture présente les différentes menaces, les utilisateurs sont la clef de voûte de la protection.

La #video #conférence Jitsi sans téléchargement et sans vos données personnelles vers l'internet #RGPD #CNIL

La mise en œuvre du confinement impose peu à peu le télétravail ou simplement de garder le contact avec ses proches. La vidéo conférence est un bon moyen mais vos données personnelles sont la cible des différentes offres sur le marché (Skype, Messenger, Teams, Gotomeeting, .. ) .. Il est possible de ne pas les laisser en "libre service".
Le produit open source de Jitsi permet de mettre en place quasiment immédiatement une visio conférence.