A l’occasion du Forum International de la Cybersécurité (FIC) ayant eu lieu en juin dernier à Lille, l’institution de lutte contre les cybermalveillances a lancé son nouveau module d’assistance, permettant à toute victime de profiter de son service de diagnostic et d’assistance en cas de cybermalveillances.

Ce module, intégrable dans toutes les pages d’un site internet, permet ainsi à tout utilisateur victime, qu’il soit particulier, entreprise, collectivité ou encore association :

• d’accéder directement à un diagnostic en ligne, depuis son site ayant intégré le module ;
• de comprendre l’acte dont elle est victime et, si elle le souhaite, d’accéder à des conseils personnalisés sur le site de cybermalveillance.gouv.fr ;
• d’être mis en relation avec un professionnel qualifié en cybersécurité référencé sur la plateforme.

Par ailleurs, toute entité possédant un site internet, soucieuse de la cybersécurité et de la sécurité en ligne de ses utilisateurs, peut d’ores et déjà demander la souscription gratuite au module, via le lien suivant :

Le module « Assistance Cyber en Ligne » – Assistance aux victimes de cybermalveillance

Consultez ici le communiqué de presse de cybermalveillance.gouv.fr :  Cybermalveillance.gouv.fr met à disposition son nouveau module « ASSISTANCE CYBER EN LIGNE »

La consultation publique organisée sur la rubrique relative à la protection sociale complémentaire (PSC) a pris fin le 15 mai dernier et a semble-t-il rencontré un franc succès.

Dans un communiqué du 24 juin dernier, l’administration se félicite d’ailleurs de manière générale du bilan très positif que cette base présente pour la sécurisation des entreprises après un an de publication.

Aussi, dans cette actualité, nous pouvons lire qu’alors que les contenus de la rubrique relative à la PSC devaient être rendus opposables à compter du 1^er juillet 2022, cette date est finalement reportée au 1^er septembre 2022. 

Nombre de contributions formulées au cours de la consultation publique sont en effet encore en cours d’examen et ce délai supplémentaire va ainsi permettre à l’administration d’apporter des précisions nouvelles pour répondre au mieux aux attentes des utilisateurs.

Consultez ici l’intégralité du document : Actualités du BOSS – Communiqué du 24 juin 2022

Suite à plusieurs plaintes reçues ces derniers mois sur le sujet des « murs de traceurs » (cookie walls en anglais), la CNIL a publié, le 16 mai dernier, des premiers critères permettant d’évaluer la légalité de cette pratique.

Pour mémoire, les cookie walls est une pratique selon laquelle l’internaute est obligé d’accepter le dépôt de certains traceurs sur son terminal (ordinateur, smartphone, … etc.) pour accéder à un service sur internet. A défaut d’acceptation, celui-ci sera obligé de fournir une contrepartie financière pour accéder au site.

La CNIL rappelle dans un premier temps que si le dépôt de cookie walls est susceptible de porter atteinte, dans certains cas, à la liberté du consentement, cette pratique n’est pourtant pas interdite de manière générale. Sa légalité doit en effet être appréciée au cas par cas, en tenant compte notamment de l’existence d’alternatives réelles et satisfaisantes proposées en cas de refus des traceurs.

La CNIL recommande, en second temps, la prise en compte de certains critères afin d’apprécier si la pratique de cookie walls est susceptible de porter atteinte au consentement de l’utilisateur. Les opérateurs devront en effet :

• proposer des alternatives réelles et équitables permettant à l’internaute d’accéder au site web lorsqu’il refuse l’utilisation des traceurs sur ce site ;
• exiger, le cas échéant, le paiement d’une contrepartie financière raisonnable qui ne prive pas l’internaute d’un véritable choix ;
• veiller à ce que ce tarif, déterminé au cas par cas, puisse être justifié et ainsi représenter la rémunération juste du service proposé ;
• à défaut, être en mesure de démontrer qu’un autre éditeur propose une telle alternative sans conditionner l’accès à son service au consentement de l’utilisateur au dépôt de traceurs ;
• s’abstenir de déposer des traceurs nécessitant le consentement de l’internaute lorsque ce dernier accepte l’alternative proposée par l’éditeur.

Pour mémoire, La CNIL et le CEPD ont appelé, à plusieurs reprises, le législateur européen à fixer des règles plus précises en matière de cookies dans le futur règlement européen ePrivacy, en cours d’élaboration.

Consultez ici le communiqué de la CNIL : Cookie walls : la CNIL publie des premiers critères d’évaluation

Dans l’objectif d’harmoniser la politique de sanction suivie par les autorités nationales de protection des données, le Comité Européen de la Protection des Donnée (CEPD) a publié, le 12 mai dernier, de nouvelles lignes directrices sur la méthodologie de calcul des amendes administratives liées à la violation des règles du RGPD.

Ces lignes directrices viennent d’ailleurs s’ajouter au guide adopté par le CEPD sur l’application et la fixation des amendes et dans lequel l’autorité européenne insiste sur la nécessité de prendre en compte les circonstances de chaque affaire lors de la prescription d’une amende.

Pour rappel, l’article 83 du RGPD dispose d’ailleurs que les amendes administratives, déterminées en principe par les autorités nationales de contrôle doivent dans chaque cas être effectives, proportionnées et dissuasives, sans pourtant excéder le plafond déterminé par le RGPD.

Dans le respect des principes cités ci-dessus, le CEPD prévoit que les Autorités de contrôle doivent suivre les cinq étapes suivantes :

• Identifier les opérations de traitement des données comportant des infractions aux règles du RGPD, l’objectif étant de déterminer si toutes les infractions ou certaines d’entre elles peuvent d’être sanctionnées ;
• Identifier un point de départ pour le calcul de l’amende, en fonction de la nature et de la gravité de l’infraction ainsi que le chiffre d’affaires de l’entreprise ;
• Prendre en compte les facteurs aggravant ou atténuant qui peuvent augmenter ou diminuer le montant de l’amende, tel que le comportement du responsable du traitement ou du sous-traitant dans le passé ;
• Déterminer les plafonds légaux des amendes conformément à l’article 83, §4 à §6 du RGPD et veiller à ce que les amendes ne dépassent pas ces plafonds ;
• Analyser enfin si le montant final de l’amende calculé répond aux exigences d’efficacité, de dissuasion et de proportionnalité, étant précisé que des ajustements supplémentaires de ce montant peuvent, si nécessaire, être opérés.

Autrement dit, la méthodologie expliquée ci-dessus ne repose pas sur un simple calcul mathématique, mais plutôt sur les circonstances spécifiques à chaque infraction afin de déterminer le montant final de l’amende qui, lui, peut varier dans les limites imposées par le RGPD.

Ces lignes directrices sont soumises à consultation publique jusqu’au 27 juin prochain. 

Consultez ici l’intégralité du document en anglais : Guidelines 04/2022 on the calculation of administrative fines under the GDPR, Version 0.1

Comme chaque année, la CNIL a publié, le 11 mai dernier, son rapport d’activité pour l’année 2021.

Ce rapport met en avant l’activité particulièrement intense de la CNIL d’une part, et présente sa stratégie d’action pour les années à venir d’autre part.

Concernant son activité pour l’année 2021, la Commission fait le point sur son action d’accompagnement des opérateurs économiques dans leur démarche de conformité au RGPD mais aussi sur le contrôle du respect du règlement par ces derniers. Ces actions, concernant d’ailleurs plusieurs secteurs y compris celui de l’assurance, sont présentées en détail dans le rapport. Il s’agit notamment : 

• de l’accompagnement de 12 projets économiques via sa stratégie innovante « start-up » ;
• du contrôle progressif du respect des mesures de sécurité concernant les données de santé et de la cybersécurité (22 contrôles) ;
• du contrôle accru du respect du droit des données personnelles, notamment en matière de cookies et autres traceurs (89 mises en demeure en 2021).

S’agissant plus particulièrement du secteur de l’assurance, celui-ci a fait en 2021 l’objet d’un accompagnement privilégié mais aussi d’une surveillance accrue, compte tenu des données sensibles que les organismes et les distributeurs d’assurance sont amenés à traiter. En effet :

• la CNIL a animé en 2021 certains clubs conformité avec les principaux représentants du secteur (FA, FNFM, CTIP). Ces rencontres ont notamment permis la mise à jour du pack conformité assurance en juillet 2021 ;
• 25 % des plaintes traitées par la CNIL concernent le secteur banque-crédit-assurance ;
• 10 % des notifications de violation des données reçues par la CNIL concernent les activités financières et d’assurance.

Les enquêtes menées ont ainsi permis de constater de nombreuses vulnérabilités, des insuffisances dans les politiques de mots de passe ou encore des suites cryptographiques obsolètes. Ce qui nous alerte sur la nécessité de renforcer la sécurité de notre système numérique face aux cyberattaques.  

Concernant sa stratégie pour les années à venir, la CNIL confirme son intention de renforcer le respect effectif des droits sur la protection des données en mettant en œuvre des moyens d’accompagnement et de sanction qui sont agiles, équilibrées et efficaces. C’est ainsi qu’elle précise ses orientations autour des trois axes prioritaires suivants :

• favoriser la maitrise et le respect des droits des personnes sur le terrain, par le renforcement des actions de sensibilisation, d’accompagnement et des actions répressives;
• promouvoir le RGPD comme un atout de confiance pour les organismes, par la fourniture d’orientations pratiques et claires aux responsables de traitement, le renforcement de sa stratégie d’accompagnement et le développement d’outils de certification et de codes de conduite ;
• prioriser des actions de régulation ciblées sur des sujets à fort enjeu pour la vie privée, tel que les transferts des données dans l’informatique en nuage (Cloud) et les collectes des données personnelles dans les applications des smartphones.

En résumé, la CNIL renouvelle sa politique d’accompagnement, sa mobilisation accrue sur la cybersécurité et prévoit de renforcer son action répressive.

Consultez ici l’intégralité du rapport : Rapport annuel 2021 CNIL