DPO Consulting

02/12/2021

Un beau matin, au réveil les internautes chinois ne peuvent plus naviguer sur comme à leurs habitudes.

Les services ne sont « plus accessibles depuis la Chine continentale », car le moteur de recherche américain a annoncé la fin de ses opérations dans le pays, citant un « environnement commercial et juridique de plus en plus difficile ».

Son retrait coïncide avec le déploiement en Chine de la loi sur la protection des informations personnelles « PIPL », calquée sur le modèle du .

Avec la PIPL (Personal Information Protection Law), la loi sur la entrée en vigueur en mai 2017 et une autre loi sur la sécurité des mise en œuvre en septembre, le pays dispose d’un arsenal de mesures qui restreignent considérablement les flux de données transfrontaliers.

Un tour de vis trop jugé trop contraignant pour Yahoo et pour d’autres à l’instar de et .

PIPL, quels sont les fondements de cette nouvelle loi ? Quelles sont les similitudes et différences avec le RGPD ?

👉 https://bit.ly/3CS3awb

Le 1er novembre, le Personal Information Protection Law (PIPL) est entré en vigueur en Chine. Pourquoi et quelles différences avec le RGPD?

01/12/2021

C’était une des nouvelles les plus importantes de cette fin d’année 2021, lors de la conférence Connect, le PDG de , Mark Zuckerberg, a annoncé la nouvelle identité du groupe Facebook. Celui-ci devient « Meta » !

Le gros de la conférence s’est concentré sur l’idée du , une vision d’un univers de médias sociaux qui peut se déplacer de manière transparente entre les et les / réalité augmentée.

Meta trouve ses racines dans le grec que l’on pourrait traduire par « au-delà » ou « après ». C’est un terme qui est apparu pour la première fois dans les années 90’ dans le livre « Le Samouraï virtuel ». L’histoire repose sur un jeu en ligne où l’on entre à travers des lunettes ou des écrans connectés pour expérimenter une réalité alternative. Plus récemment c’est Spielberg qui s’est attaqué au sujet avec le film « Ready Player One ».

Dystopie ou utopie futuriste ?
Pas vraiment, car le métavers existe déjà, sous forme embryonnaire : dans le jeu vidéo Fortnite, le rappeur américain Travis Scott est apparu en avatar et ses concerts été suivis par plus de 12 millions de joueurs.

Les projets de métavers sont ambitieux et pleins de promesses mais restent néanmoins des dispositifs où l’extension du domaine de la collecte des pourrait s’avérer problématique si leur développement n’est pas maîtrisé.

👉 https://bit.ly/3FPu0qF

Alors que le réseau social traverse une période difficile, Mark Zuckerberg a lancé fin octobre 2021 les nouveaux nom et projet de la firme de Menlo Park. Ne l’appelez plus Facebook, mais Meta. Un nouveau terme qui rassemblera les différentes activités de l’entreprise, qui ne se développero...

23/11/2021

La Global Privacy Assembly (GPA), un organisme international qui rassemble 81 autorités de protection des données, vient d'adopter cinq résolutions dans le cadre de sa 43ème réunion annuelle qui s'est tenue au Mexique. L'objectif étant d'établir des socles de garanties à l'échelle internationale.

Cocorico !
En plus d’avoir été co-autrice de deux résolutions, la a été distinguée pour son logiciel "Cookieviz 2.0" dans la catégorie "innovation' du GPA Awards. L’outil permet de visualiser les et autres déposés depuis des domaines tiers lors de la navigation sur un site web.

La première, porte sur l'encadrement de l'accès par les gouvernements aux données détenus par le secteur privé. Un thème devenu majeur après l'annulation du .
La seconde, aux côtés de l'autorité italienne (la Garante), porte sur la protection des droits des mineurs

Concernant les trois autres résolutions :
Une concerne le pour "le bien commun". Un sujet particulièrement important aujourd'hui, depuis la pandémie de -19. Le partage des informations entre les pays est devenu un outil indispensable pour suivre l'évolution du SARS-CoV-2 et ainsi adapter la réponse sanitaire.

Quant aux deux dernières elles sont purement procédurales et portent sur le renforcement du rôle de la Global Privacy Assembly dans les débats internationaux sur la protection des données personnelles.

👉 https://bit.ly/3k9mwq8

16/11/2021

Le gouvernement a présenté la semaine dernière le volet industriel de sa stratégie nationale pour le .
La volonté de Cédric O, le secrétaire d’État chargé de la Transition numérique et des Communications électroniques, est claire :
« L’ambition est de faire émerger en France et en Europe des champions mondiaux du cloud et de l’ »

Pour les acteurs français et européens la bataille du cloud n’est pas perdue mais est très loin d’être gagnée, face à des géants comme , et qui représentent à eux trois 70% du marché cloud européen.

Pour maintenir leur souveraineté sur ce domaine, les grands acteurs américains investissent des fortunes : plus de 14 milliards d’euros ont été investis dans la zone Europe au cours des quatre derniers trimestres.

Outre ces sommes colossales investies, les acteurs américains manœuvrent également avec stratégie et alliance pour se rapprocher des acteurs locaux ( , # # Capgemini) pour se conformer aux exigences françaises.

Le gouvernement français va donc annoncer un investissement de 1,8 milliard d’euros pour soutenir la filière cloud française : 667 millions d’euros financés par l’État, 444 millions d’euros de financements européens et 680 millions d’euros de financements privés.

L’objectif est clair : Faire émerger des champions européens et français de l’innovation !

En termes de répartition budgétaire, l’État annonce que 921 millions d’euros serviront à accélérer le développement des services cloud à haute valeur ajoutée tels que l’Edge, l’ et le collaboratif et 660 millions iront à la création d’espaces de données mutualisés.

👉 https://bit.ly/3wns0Cr

Troisième volet de la stratégie nationale pour le cloud, le soutien financier pour l’émergence de nouvelles offres industrielles était attendu par de nombreux acteurs de la filière française. Cédric O l'a détaillé mardi 2 novembre.

15/11/2021

[ ON RECRUTE ] 🤝

DPO Consulting est à la recherche pour son entité d’un(e) consultant(e) en protection des 👩 👨
Avec vos 3 à 5 ans d’expérience, une appétence pour les et la , venez rejoindre une équipe dynamique et soudée qui fait la fierté d’un groupe en pleine croissance nationale et internationale !

N’hésitez pas à jeter un œil à l’offre et nous envoyer vos CV ✉️
👉 https://bit.ly/3knO6zY

Quelques mots sur qui nous sommes :
Créé en 2015, DPO Consulting est cabinet de en pleine expansion et reconnu comme l’un des dans le domaine de la protection des données personnelles. DPO Consulting accompagne les dans leur organisationnelle et opérationnelle, en accordant un soin particulier à respecter leurs valeurs et à maintenir au quotidien le niveau de conformité requis par les différentes législations nationales et européennes. Dans ce cadre, notre entreprise a également développé une solution logicielle myDPO, laquelle permet aux collaborateurs et aux clients d’optimiser et de rationaliser la gestion de leurs 💪

04/11/2021

Depuis quelques années maintenant, les métiers de la ont bien évolué. Leur rôle est devenu à la fois critique, polyvalent et stratégique. Ils sont passés de la protection contre les menaces et la gestion du risque à un rôle prépondérant dans la gestion de l’image de marque de l’entreprise et de sa stratégie d’adoption des .

Pour suivre cette évolution, l’ lance un Observatoire des métiers de la cybersécurité.
Dans ce cadre et en partenariat avec l’ , l’agence publie une étude intitulée les Profils de la cybersécurité, afin de mieux connaître les enjeux des professionnels et des recruteurs. L’enquête, menée auprès de 2 381 professionnels révèle les tendances chiffrées sur les profils types, la formation, l’expérience, le recrutement, la rémunération et l’épanouissement au travail.

Selon l’étude, les professionnels sont très majoritairement des hommes (près de 90 %), avec un taux de féminisation un peu plus marqué dans les structures spécialisées. La population travaillant dans des structures spécialisées est plus jeune, les moins de 30 ans atteignant près de 30 %, soit 10 points de plus que chez les professionnels des structures non spécialisées.

Découvrir l’étude de l’ANSSI
👉 https://bit.ly/2Znwfl8

03/11/2021

L’entrepôt de est un outil au service de la stratégie des acteurs de l’écosystème de la santé.
Plusieurs acteurs de cet écosystème collectent des de santé dans le cadre de leurs activités qu’ils souhaitent pouvoir valoriser.

La valorisation des données, c’est se donner les moyens de les réutiliser dans le temps à d’autres fins.
Pouvoir les croiser avec d’autres données pour produire des études, des indicateurs, mener des projets d’évaluation ou recherche.

Toutefois, pour que cela soit réalisable, les acteurs doivent se doter d’un Entrepôt de Données de Santé ( ).

Actuellement, une demande d’autorisation « santé » de la , assortie d’une analyse d’impact sur la protection des données ( ) est requise dès lors que le consentement explicite des personnes concernées par la création de l’EDS n’a pas été recueilli.

Un nouveau référentiel de la CNIL vient d’être publié pour simplifier et accélérer la création d’Entrepôts de Données de Santé pour les établissements ou centres où s’exercent des activités de prévention, de diagnostic et de soins.

Un entrepôt de données de santé qu’est-ce que c’est ?
Il s’agit d’une base de données unique, centralisée, multi-sources permettant la collecte et la conservation de données massives pendant une longue durée. L’exploitation des données peut poursuivre des fins multiples, immédiate (production d’algorithmes, modèles prédictifs…) ou secondaire et ultérieure (recherche, évaluation et études). Il permet donc de réutiliser des données dans le temps pour des finalités secondaires (nouveaux traitements). Il répond à un besoin beaucoup plus large qu’un recueil de données dans le cadre d’un projet d’étude précis et ponctuel, pour lequel les données sont collectées spécifiquement.

Voir le référenciel de la CNIL :
👉 https://bit.ly/3jCL2jd

02/11/2021

L’activiste Max Schrems et son association accuse la Data Protection Commission (DPC) d’être un peu trop proche de .

L’association reproche à la irlandaise une amende très basse à l’encontre du géant du et un alignement sur l’interprétation discutable que Facebook fait de l’accord le liant à ses utilisateurs.

La propose d’infliger à Facebook une amende comprise entre 28 et 36 millions d’euros pour ses violations du , en estimant que Facebook doit être condamné à une aussi faible amende car l’entreprise aurait dû faire preuve d’une plus grande transparence envers les utilisateurs.

Ce que la DPC reproche à Facebook, c’est de ne pas avoir correctement informé ses utilisateurs de sa manœuvre consistant à « contourner le RGPD ». Facebook interprétait l’accord le liant à l’utilisateur sur l’utilisation des de ce dernier non comme un consentement (ce qui obligerait Facebook à se conformer avec les exigences RGPD), mais comme un « contrat ».

Une interprétation tout à fait discutable, qui n’est pas du gout de Max Schrems et des autres autorités de contrôle.

👉 https://bit.ly/3BUZWbD

La Data Protection Commission souhaite infliger une amende entre 28 entre 36 millions d'euros à Facebook. Le projet de sanction a été adressé à ses homologues, qui ont désormais un mois pour se prononcer. L'autorité irlandaise estime que Faceb...

26/10/2021

Le ministère de l'enseignement supérieur et de la recherche souhaite trouver une alternative à pour les besoins des étudiants, enseignants et chercheurs. Une initiative qui fait suite à un avis de la .

La Commission nationale de l'informatique et des libertés a rendu un avis sur le recours par l'enseignement supérieur et de la recherche à des solutions américaines. Elle concluait que "dans certains cas, des transferts de vers les -Unis dans le cadre l’utilisation des suites collaboratives pour l’éducation" peuvent se produire.

Cet avis, sollicité par la Conférence des grandes écoles (CGE) et la Conférence des présidents d’université (CPU), s'inscrit dans le contexte de l'invalidation du par le juge européen.

Lire notre article sur le sujet
👉 https://bit.ly/3iGGsjs

La gronde anti-Google s'organise également au sein des universités, à l'image de l'enseignant-chercheur Franck Rebillard à Paris 3 qui critique cette collaboration depuis plusieurs années. "Nous favorisons sur le long terme une entreprise privée, connue pour pratiquer l’optimisation fiscale et pour utiliser les données produites par ses utilisateurs, ici des étudiants, des enseignants, des chercheurs".

Il reste donc à trouver et à mettre en place des solutions souveraines adaptées aux besoins de l'enseignement supérieur.
A ce sujet, la Cnil prévoit bien une période transitoire dans son avis, sans fixer de date.

21/10/2021

Voici Astro, un robot adorable mais aussi très intrusif, signé .
Astro, un nom qui vous dit peut-être quelque chose ? Il fait référence au manga « Astro, le petit robot », publié dans les années 1950.

Prévu d’arriver sur le marché américain fin 2021, Astro est un condensé de technologie made in Amazon.
Équipe de Ring (caméras issues de la gamme de sécurité) et de beaucoup d’Alexa (assistant vocal) il est destiné à jouer les assistants à tout faire dans la maison. Toutefois, ce petit compagnon à roulettes et aux grands yeux ronds fait déjà débat…

Des problèmes de motricité rendant le robot sujet aux chutes, mais surtout et d’après les dires des anciens ingénieurs impliqués dans le projet Astro serait un « cauchemar pour la vie privée ». Ce constat est partagé par Nathalie Devillier, experte en droit du pour la Commission européenne sur les problématiques de l'intelligence artificielle (IA) : "C'est une atteinte à la vie privée exponentielle."

Concernant Astro, la liste des menaces pour les est longue :
Reconnaissance faciale sur toutes les personnes qui entrent dans le foyer,
Cartographie du domicile,
Enregistrements audio et vidéo,
Risque de piratage…

Ces objets rentrent progressivement dans nos vies et nous n’avons aucun contrôle sur la donnée enregistrée et traitée.

Pour en savoir plus sur Astro
👉 https://bit.ly/3mxX6CX

Astro, le robot assistant annoncé par Amazon pour le marché américain inquiète par son ingérence dans la vie privée des utilisateurs.

20/10/2021

Selon le rapport de CyberNews, après analyse de la configuration de près d’un millier d’applications (les plus populaires), 14 d’entre elles auraient laissé échapper des données sensibles à propos de leurs utilisateurs en raison de contrôles d’accès insuffisants sur leur base de données en temps réel . Les données exposées contiendraient à minima les noms des utilisateurs, leurs emails, leurs noms d'utilisateur…

Ces 14 applications cumulent pourtant un total de 142,5 millions de téléchargements sur le Store.
Mais populaire ne rime pas toujours avec sécurité : avec sa fuite de 500 millions et avec ses 1,4 milliard de données personnelles utilisateurs scrapées.

Les problèmes de confidentialités sont liés à la mauvaise configuration de Firebase.
Firebase est utilisée tous les mois par plus de 2,5 millions d’applications. C’est une plateforme de développement d'applications mobiles qui offre une multitude de fonctionnalités utiles, notamment l'analyse, l'hébergement et le stockage dans le cloud en temps réel. Il est probable que des applications que vous utilisez au quotidien soient également sujettes à des fuites de , attention !

Les utilisateurs d’Android ne sont pas les seuls concernés par ces problèmes de confidentialité, puisque certaines applications chez pourraient également être impactées par ces mauvaises configurations de Firebase.

👉 https://bit.ly/3ag7Ekj

Top Android apps downloaded by more than 140 million people leak user data, potentially including users’ names, emails, usernames, and more.

14/10/2021

Fichier des empreintes digitales : la Cnil sanctionne le ministère de l'Intérieur

Jeudi 30 septembre, la a rendu publique sa décision de sanctionner le ministère de l'Intérieur pour "mauvaise gestion" d'un fichier automatisé des empreintes digitales.

Le ministère de l'Intérieur aurait conservé plus de deux millions de fiches au-delà de la durée maximale de conservation de 25 ans et aurait également conservé sept millions de fiches au format papier, sans base légale. Ce n’est pas moins de cinq manquements qui ont été relevés par la CNIL concernant la manière dont étaient traitées les données du Fichier Automatisé des Empreintes Digitales (FAED) à savoir :

La conservation, dans le fichier, de données non prévues par les textes,
La conservation de données pendant une durée excédante celle prévue
La conservation de données relatives à des personnes ayant bénéficié d’un régime spécial (acquittement, relaxe, non-lieu)
Une sécurité des données insuffisante en raison d’un faible mot de passe
L’absence d’information des personnes concernées.

Considérant les "moyens engagés comme insuffisants, la Cnil a adopté plusieurs injonctions à l'encontre du ministère.

Voir le compte rendu de la CNIL sur le ministère de l’intérieur
👉 https://bit.ly/3ahHoGg