Redstone Consulting SA
- Experts en Cybersécurité et en Protection des données - CISO et DPO externes -
Le retour du Mooc de la CNIL
Après des mois d’absence, il est de retour !!!
https://www.cnil.fr/fr/le-mooc-de-la-cnil-est-de-retour-dans-une-nouvelle-version-enrichie
#RGPD #GPDR #CNIL #MOOC
Microsoft 365 utilisation illégale selon le PFPDT
Par prise de position du 13 mai 2022, publiée le 13 juin 2022, le PFPDT va au-delà de son avis précédemment donné à la SUVA.
Désormais, il retient que l’utilisation des services Cloud Microsoft 365 (Cloud Azure) est illégale, tant pour les organes privés que fédéraux.
Raisonnement en deux étapes :
- Est-ce qu’il s’agit d’une communication transfrontière ?
Parmi les entreprises qui proposent de traiter les données personnelles sur le Cloud et non sur site : Microsoft Ireland Operations Ltd, qui fait partie d’un groupe américain et dont le siège se trouve à Dublin.
Oui, selon le PFPDT, même si les datacenters sont hébergés en Suisse, l’utilisation d’un tel système de Cloud est une communication transfrontière car des données personnelles sont externalisées dans un centre de données étranger irlandais par une société exploitée par un groupe américain.
- Le transfert vers l’étranger est-il admissible ?
Pour les organes privés, en principe, l’admissibilité d’un transfert vers l’étranger se base sur le niveau de protection offert par la législation en vigueur vers le pays de destination ou des garanties contractuelles suffisantes et non pas sur le risque effectif en cas de transfert.
Pour les organes publics, en raison du secret de fonction, d’importantes difficultés sont rencontrées en cas de transfert à l’étranger. Une révision à venir de l’article 320 du Code pénal devrait permettre un allègement.
Oui, le transfert vers l’Irlande est possible, car elle fait partie de l’EEE et sa législation offre un niveau de protection adéquat.
Non, le transfert vers les Etats-Unis n’est pas possible, car la législation n’offre pas un niveau de protection suffisant, tant pour les organes privés que public.
CONCLUSION
Selon le PFPDT :
- Toutes communications à une société faisant partie d’un groupe américain seraient assimilées à une communication transfrontière ;
- Tous transferts ayant un lien direct ou indirect avec les Etats-Unis seraient illicites.
La position du PFPDT :
- n’est pas contraignante ;
- n’a à ce jour, pas été confirmé par la jurisprudence suisse ;
- paraît difficilement pouvoir être mise en œuvre en pratique ;
Néanmoins, compte tenu de l’évolution technologique constante, l’analyse de toute migration vers le cloud doit être effectuée (via des analyses d’impact ou de transfert) afin de faire face aux besoins et aux risques réels.
Data Governance Act
Vous connaissez la protection des données personnelles ? le RGPD ?
Quid alors des données NON personnelles, le reste quoi !
C’est le but du “Data Governance Act” (entre autre).
Un nouveau draft d’un règlement a été publié le 25.11 par la commission européenne afin que le parlement européen et le conseil des ministres en discute, et le valide.
Plus d’information ici :
https://www.lexology.com/library/detail.aspx?g=366c1dc4-4a38-496f-b05f-7955546e4f73
#RGPD #GDPR #datagovernanceact #nonpersonaldata
Aide Mémoire Confinement
On a pas mal réfléchi comment aider nos PME, nos entreprises pendant cette période. Voici donc un #aidemémoire pour accompagner nos #PME à se poser les bonnes questions cyber et réglementaires s’ils mettent en place du télétravail ou toute autre mesure lié au COVID !
En effet, le Fédéral, les Cantons nous obligent à de multiples mesures totalement extraordinaires, ce qui nous pousse à mettre en place des choses sans précédent, or aucun accompagnement n’est fait pour aider les entreprises à se réinventer et survivre malgré les nouveaux risques.
On l’a vu depuis le début de l’année, le nombre de cyber attaques est tout simplement incroyable, et nos PME qui luttent pour leur survie sont bien démunies face à tout ceci.
https://www.redstoneconsulting.ch/wp-content/uploads/2020/11/2020_AideMemoire_Confinement.pdf
Nouvelles lignes directrices de la CNIL sur les cookies
Bonjour
Cette semaine je vous partage les nouvelles lignes directrices de la CNIL pour les cookies.
En voici les grands principes :
Concernant le consentement des utilisateurs :
- la simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement de l’internaute ;
- les personnes doivent consentir au dépôt de traceurs par un acte positif clair (comme le fait de cliquer sur « j’accepte » dans une bannière cookie). Si elles ne le font pas, aucun traceur non essentiel au fonctionnement du service ne pourra être déposé sur leur appareil.
- Les utilisateurs devront être en mesure de retirer leur consentement, facilement, et à tout moment.
- Refuser les traceurs doit être aussi aisé que de les accepter.
Concernant l’information des personnes :
- elles doivent clairement être informées des finalités des traceurs avant de consentir, ainsi que des conséquences qui s’attachent à une acceptation ou un refus de traceurs ;
- elles doivent également être informées de l’identité de tous les acteurs utilisant des traceurs soumis au consentement.
- Les organismes exploitant des traceurs doivent être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur.
Vous trouverez par ailleurs sur le site de Redstone tout ces éléments en place, et donc en ‘démo’ si vous préférez voir ce que cela donne en concret.
Breaking News – LPD !!!
Cette fois c’est voté ! La révision de la LPD est là !!!
Conseil des états à l’unanimité.
Malgré les interrogations sur comment on va gerer ce profilage à risque élevé, c’est un très grand jour pour la protection des données en Suisse !
Va t il y avoir un référendum populaire sur le sujet ? Nous verrons d’ici début 2021!
Breaking News – LPD
Breaking news – Le national accepte la proposition du de la conférence de conciliation ! (134 voix contre 42)
Le profilage à risque élevé sera bien tout profilage entraînant un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée, lorsqu’il conduit à un appariement de données qui permet d’apprécier les caractéristiques essentielles de la personnalité de la personne physique.
Reste au conseil des états à voter.
Très bonne nouvelle pour commencer ce jeudi !!
#LPD #RGPD #RLPD
Révision LPD – encore repoussée !!
BREAKING NEWS – le conseil des états ne suis évidemment pas le conseil national, le désaccord subsiste sur le profilage.
Pas de LPD révisée donc pour cette session d’automne…
Pas de Convention 108+ signée par ricochet.
Perte probable de l’adéquation, affaire à suivre.
Ce sera donc une séance de conciliation – je vous tient informé des dates et process que cela va prendre.
#LPD #RLPD #Conseildesetats #parlement #RGPD
Breaking news – Privacy Shield US/CH
BREAKING NEWS – Le Privacy Shield Suisse n’est plus reconnu par le PFPDT ! Les clauses contractuelles oui, pour autant que des mesures techniques appropriées empeche la surveillance américaine.
Bref, il est grand temps de faire attention si vous échangez des données avec les USA !!
Questions, Remarques ? n’hésitez pas à nous contacter
https://www.admin.ch/gov/fr/accueil/documentation/communiques.msg-id-80318.html
Notre parternaire e-Xpert Solutions
Suivez nous !
