Donneo Conseil

05/10/2021

3 DATES ...
Ah les coïncidences... c'est dingue !

● [Dimanche 3 octobre]
Frances Haugen, lanceuse d’alerte à l’origine des Facebook Files, une grande série d’enquêtes du Wall Street Journal, a dévoilé son identité dans un entretien accordé à l’émission 60 Minutes, sur la chaîne américaine CBS.

● [Lundi 4 octobre] (17h00-00h00)
Une panne généralisée supprimant tout identifiant de Facebook vers le reste de l’internet se produit alors que le fait de ne plus être «publié sur internet» serait plus normalement issu d’une commande manuelle, ayant peu de chance d'être le fait d'un automatisme ou d'une mise à jour ratée selon l'expert en cybersécurité Steve Waterhouse (*) analysant la situation sur les ondes de la chaîne québécoise LCN ... finalement l'impossibilité de serveurs DNS de trouver une route FB ce jour ... ?

● [Mardi 5 Octobre]
Frances Haugen est auditionnée ce mardi 5 octobre par la commission au Commerce du Sénat américain suite à son interview et les publications du Wall street journal, dénonçant Facebook en affirmant que l’entreprise priorisait entre autres dénonciation le profit sur la sécurité et donc les dérives, force documents à l'appui emmenés avec elle lors de son départ au printemps 2021...

Finalement cette panne pourrait être analysée comme « une action à l’interne » à la suite de cette dénonciation lors du reportage de 60 minutes avec les déboires judiciaires qui pourraient en découler se questionne Steve Waterhouse ? (*)

(*) https://www.journaldemontreal.com/2021/10/04/panne-de-facebook-un-possible-sabotage-a-linterne-1

Frances Haigen interview : https://www.facebook.com/31543029394/posts/10159501103684395/

Cette ex-employée du réseau social est apparue à visage découvert pour la première fois dimanche dans une interview sur la chaîne CBS. Après avoir quitté Facebook au printemps, la jeune femme avait transmis au « Wall Street Journal » des études internes qui ont servi de base aux « Facebo...

28/09/2021

Révolution ou évolution ?

La version hébergée dans le cloud de la suite Microsoft 365, c’est-à-dire accessible depuis un navigateur Web serait ou sera désormais à proscrire dans les ministères.

C’est ce qu’a indiqué le directeur interministériel du numérique, Nadi Bou Hanna, dans une note confidentielle envoyée le 15 septembre aux secrétaires généraux des ministères et relayée par Acteurs publics.
La nouvelle doctrine cloud de l’État dite “au centre” a t'elle fait sa première victime.. et de taille ? Cette nouvelle doctrine “cloud au centre” officialisée en mai dernier impose aux administrations le recours à des clouds sécurisés, "à l'abri" de toute ingérence étrangère et en particulier celle des États-Unis, dans le contexte dégradé que l'on connait depuis l'arrivée du Cloud Act américain et l'invalidation du Privacy Shield avec l'Arrêt "Schrems 2".
Bien évidemment cela ne signifie pas que les agents publics ne pourront plus du tout utiliser les composants comme Word, Excel ou Outlook, mais qu’ils ne pourront pas bénéficier de leur version cloud, hébergée, commercialisée par abonnement et accessible depuis un navigateur Web.
Mais outre la simplicité de déploiement de la solution et ses mises à jour permanentes bien pratiques, qu'advient-il alors des autres outils de coédition, de stockage partagé et autres outils collaboratifs comme Teams ?
Il est mentionné que “les solutions collaboratives, bureautiques et de messagerie proposées aux agents publics relèvent des systèmes manipulant des données sensibles. Ainsi, la migration de ces solutions vers l’offre Office 365 de Microsoft n’est pas conforme à la doctrine « Cloud au centre »”, écrit la direction interministérielle du numérique (DINUM) (qui rappelons le est en charge de la transformation numérique de l’État au bénéfice du citoyen comme de l’agent, sous tous ses aspects)
La nouvelle doctrine est pour le moins extrêmement claire : pour des raisons de souplesse et de mutualisation des coûts, les ministères doivent privilégier l’hébergement de leurs outils numériques sur le cloud plutôt que sur leurs propres infrastructures, mais dès lors que les logiciels manipulent des données sensibles, ces ministères sont tenus d’utiliser le cloud interne de l’État ou bien une offre labellisée SecNumCloud par l’ANSSI (Agence nationale de la sécurité des systèmes d’information)
Mais comme le précise la doctrine ces données “sensibles” peuvent relever “des données personnelles des citoyens français, des données économiques relatives aux entreprises françaises, ou d’applications métiers relatives aux agents publics de l’État”... Alors c'est peut être bien le début d'une révolution, en marche vers une vraie souveraineté !!!

A suivre !

Dans la ligne de la nouvelle doctrine “cloud au centre” de l’État, qui impose le recours à des solutions sécurisées et protégées des ingérences étrangères, le directeur interministériel du numérique de l&r...

03/09/2021

Au sein d'une collectivité territoriale, le responsable de traitement est le chef de l'exécutif. Ainsi par exemple le maire d'une commune est LE responsable de traitement.

Le Maire ne peut par principe être désigné DPO (Data Protection Officer) ou DPD en français (Délégué à la Protection des Données) car ces deux fonctions seraient en conflit l'une avec l'autre, cela est interdit par le règlement européen (d'ailleurs, il en va de même pour un Directeur Général de société qui s'était s'était déclaré comme DPO).

En revanche le responsable de traitement doit désigner un DPO :

- sa nomination est d'ailleurs obligatoire pour (quasiment) toutes les autorités et organisations publiques, dont les collectivités territoriales type mairie ou communauté de communes (art. 37.1 du RGPD)

- le DPO peut peut être nommé en interne s'il a les qualifications nécessaires pour mener à bien ses missions, ainsi que l'autonomie et l'independance nécessaires pour mener à bien les missions qui lui sont ainsi confiées. (Cf. lignes directrices Art. 37 et 39 sur le DPO)

- le DPO peut être mutualisé entre plusieurs collectivités de structure organisationnelle indentique et de même taille...(art. 37.3 du RGPD)

- dans tous les cas, la collectivité, le maire par exemple, peut tout a fait légalement decider de recourir à un DPO EXTERNE sur la base d'un contrat de service avec une societe spécialisée (art.37.6 du RGPD)

Projecteec propose des services de DPO externalisé opérationnel et de proximité adaptés à chaque organisation en fonction de ses contraintes. contactez nous pour en discuter ou consultez notre site sur https://www.projecteec.com pour connaître nos accompagnements à réalisation et autres offres de formations.

́sterritoriales Projecteec

M. Jean Louis Masson attire l'attention de M. le ministre d'État, ministre de l'intérieur sur le fait que le RGPD (règlement général sur la protection des données) entré en vigueur le 25 mai 2018 instaure le délégué à la protection des données. Il lui demande si le maire peut être dési...

06/08/2021

La condamnation récente d'Amazon à plus de 740 millions d’euros le 16/07/21 pour non respect du RGPD confirme s'il en était encore besoin que l'Europe est bien présente sur le terrain de la protection des données et cette décision marque sans aucun doute un tournant dans l'affirmation du pouvoir de contrôle et de police des autorités de protection des données en Europe.

Les voies de recours ne sont pas terminées mais cette décision de l'autorité luxembourgeoise vient conforter cette idée d'une plus forte coopératione à établir plus que jamais entre autorités nationales de protection de données, dans l'instruction des plaintes et l'application "sans faille" du RGPD.

C'est la Quadrature du Net, association de défense très active, qui avait initié en mai 2018 une action collective contre Amazon (10.000 personnes) auprès de la Cnil, mais Amazon ayant son établissement principal européen sis au Luxembourg, l'application des principes de guichet unique et d'autorité chef de file a fonctionné à merveille (dira t'on).

Amazon a donc été condamnée en raison de la mise en oeuvre d' un système de ciblage publicitaire (profilage) sans consentement adéquat.

Les manquements sont constatés sur nombres d'articles du RGPD ( articles 6.1,12,13,14,15,16,17 et
21 du RGPD)

Amazon Europe Core doit en particulier maintenant (https://www.laquadrature.net/wp-content/uploads/sites/8/2021/08/CNIL_CLP211124.pdf) :

- mettre en conformité ses traitements de ciblage publicitaire afin que ceux-ci disposent d'une base légale (6.1),

- mettre en confomité ses traitements au regard des obligations de transparence demandées par le RPGD (art. 12,13,14),

- mettre en conformité ses réponses à toute future demande d'accès, de rectification ou
d'efïacement (art. 15, 16, 17),

- mettre en place un mécanisme d'opposition et s'assurer que celui-ci couvre l'ensemble des traitements de données à des fins de prospection.

Au delà du respect de principes et exigences de mises en œuvre du Rgpd notamment exposés ci-dessus, c'est bien la notion de "risque RGPD" que les entreprises ETI, PME et TPE doivent penser à intégrer dans leurs démarches de conformité, non seulement mais aussi :

- des SI maîtrisés et des logiciels conformes,
- des personnels "tout entiers" et intégralement sensibilisés au RGPD car ils sont les premiers acteurs du respect de la conformité, l'organisation opérationnelle de la conformité dictant la technicité que l'on va lui appliquer,
- travailler la matrice des risques en fonction des cibles concernées plus ou moins réceptives et plus ou moins exposées, la sensibilité des données traitées,
- lanprise en compte des taux d'occurrence et de gravité, double condition d'appréciation du niveau de risque, mais sans oublier le risque procédural en lui-même (le cas ici, fondé sur une action collective)
- la "volonté" nécessaire des organisations de s'inscrire dans démarche de traçabilité des flux de données mais surtout de transparence dans l'information et le traitement de ces données vis à vis des data citizen que nous sommes.

Gardez à l'esprit que considérer "je ne suis pas concerné ou intéressant pour la CNIL" ou ellee a d'autres choses à faire que s'occuper de moi" sont desnerruer de jugement.
Le risqiebest bel réel (à commencer par des opérations massives de contrôle de sites web) mais surtout le risque procédural en provenance des internautes, de vos salariés et stagiaires, de vos clients et prospects, de vos partenaires et autres concurrents est lui bien réel, palpable et de plus en plus contractulaisé et opposé ...

Cette décision a pour origine une plainte collective qui avait été adressée à la CNIL par l’association La Quadrature du Net (LQDN). En application des procédures de coopération entre autorités instaurées par le RGPD, c’est la CNPD qui était compétente pour traiter ce dossier, la soci...

10/06/2021

Que vous soyez salarié ou indépendant cette information vous intéresse

Je vous livre l'info au cas où, car si vous êtes ou ETIEZ salariés en 2014, vous avez acquis du DIF (Droit individuel à la Formation)
Vous pouvez encore transformer vos point de DIF dormants de l'époque et les intégrer sur votre CPF (compte personnel de formation).
CELA VOUS PERMET DE LES MONETISER EN EUROS DE BUDGET FORMATION POUR FINANCER ...DE LA FORMATION. CA PEUT SERVIR A CE QUE VOUS VOULEZ (si formation éligible) : apprendre la cuisine, prendre des cours d'anglais, ou faire du développement web par exemple.

Où trouver le solde d’heures de DIF ?
Il est inscrit sur le bulletin de salaire de décembre 2014 ou janvier 2015, ou sur une attestation de droits fournie par l’employeur, ou sur le dernier certificat de travail. Ce justificatif est demandé lors de la saisie afin de contrôler les heures saisies.
Une fois remplies, les heures sont intégrées au sein des droits formation à hauteur de 15€ par heure. Elles peuvent être utilisées pour financer une formation sans limite dans le temps.

Comment saisir les heures DIF ?
Sur l’application mobile ou le portail Mon Compte Formation ou sinon c'est le moment de le créer sur le portail
https://www.moncompteformation.gouv.fr/

01/04/2021

Depuis ce matin, la gestion des cookies de vos sites "Entreprise" doit tenir compte des nouvelles lignes directrices de la CNIL.
Pensez-y, car votre site est aussi la 1ère vitrine, facile à contrôler par nos amis de la protection des données ...avant d'envisager parfois d'autres investigations.

"Ce n'est peut-être qu'un détail pour vous, mais pour eux ça veut dire beaucoup"...

Les trois quarts des médias français ont décidé de proposer l'interface avec l'option "Continuer sans accepter". Webedia et Prisma Media ont, eux, fait le choix du cookie wall.

05/01/2021

Gouverner, c'est prévoir !

16/05/2020

PROFITEZ DU FNE FORMATION POUR LANCER VOTRE DEMARCHE RGPD 🎯

Le dispositif FNE Formation renforcé est étendu jusqu’au 31 Mai 2020.

➡️ UNE OPPORTUNITE POUR VOS COLLABORATEURS D'ACQUERIR LES COMPETENCES REQUISES SUR LA GESTION DES DONNEES PERSONNELLES

LE FNE :
🔝 Il concerne toutes les types d’entreprises et organisations
🔝 Les formations peuvent se dérouler après la reprise du travail des salariés en activité partielle.
🔝 Il est possible d'associer des salariés en activité totale à des salariés en activité partielle.
🔝 100 % des coûts pédagogiques sont pris en charge à hauteur 1500 € par salarié
⚠️ La demande doit être déposée avant le 31 mai 2020 auprès de la DIRECCTE (nous vous aidons)

➡️ ACCEDEZ A NOS FORMATIONS OPERATIONNELLES ET MAITRISEZ LA GESTION DES DONNEES PERSONNELLES

🏁 le RGPD : les risques financiers et opérationnels, les opportunités business
🏁 Les principes à mettre en oeuvre dans vos process métiers et selon vos publics (salariés, clients, prospects, internautes,…)
🏁 les étapes de la démarche pas à pas : de l'audit à la création des registres de traitement
🏁 Gérer et optimiser sa relation clients et prospects grâce au RGPD

➡️ Intéressés ?

Contact :
Arnaud GARCIA
DPO certifié, Expert RGPD
CEO, Projecteec SAS
[email protected]
06 84 80 39 98

15/05/2020

PROFITEZ DU FNE FORMATION POUR LANCER VOTRE DEMARCHE RGPD 🎯

Le dispositif FNE Formation renforcé est étendu jusqu’au 31 Mai 2020.

➡️ UNE OPPORTUNITE POUR VOS COLLABORATEURS D'ACQUERIR LES COMPETENCES REQUISES SUR LA GESTION DES DONNEES PERSONNELLES

LE FNE :
🔝 Il concerne toutes les types d’entreprises et organisations
🔝 Les formations peuvent se dérouler après la reprise du travail des salariés en activité partielle.
🔝 Il est possible d'associer des salariés en activité totale à des salariés en activité partielle.
🔝 100 % des coûts pédagogiques sont pris en charge à hauteur 1500 € par salarié
⚠️ La demande doit être déposée avant le 31 mai 2020 auprès de la DIRECCTE (nous vous aidons)

➡️ ACCEDEZ A NOS FORMATIONS OPERATIONNELLES ET MAITRISER LA GESTION DES DONNEES PERSONNELLES

🏁 le RGPD : les risques financiers et opérationnels, les opportunités business
🏁 Les principes à mettre en oeuvre dans vos process métiers et selon vos publics (salariés, clients, prospects, internautes,…)
🏁 les étapes de la démarche pas à pas : de l'audit à la création des registres de traitement
🏁 Gérer et optimiser sa relation clients et prospects grâce au RGPD

➡️ Intéressés ?

Contact :
Arnaud GARCIA
DPO certifié, Expert RGPD
CEO, Projecteec SAS
[email protected]
06 84 80 39 98

21/03/2020

“Quelques conseils simples et basiques pour les parents avec leurs enfants en période de fait par la et le COVID”