Eurex emploi

Un guide RGPD pour les TPE-PME

Le Comité européen de la protection des données (CEPD) propose aux TPE-PME un guide expliquant à travers des exemples concrets les grands principes du règlement général de protection des données (RGPD) et de la protection des informations.

Vous le savez : toutes les entreprises qui utilisent des données personnelles doivent respecter le fameux règlement RGPD. Cela leur permet non seulement d’éviter des amendes ou des mises en demeure en cas de plainte ou de contrôle, mais aussi de limiter les risques en matière de cybersécurité et de valoriser leur réputation. Mais en pratique, les plus petites entreprises peuvent se sentir démunies pour appliquer ce règlement : comment choisir une base légale pour collecter et utiliser des données personnelles, travailler avec un sous-traitant, réagir à une violation de données ou encore répondre aux demandes d’exercice des droits des personnes ?

Des cas concrets duplicables

C’est pour accompagner ces entreprises que le Comité européen de la protection des données (CEPD) vient de publier un guide, téléchargeable en format web, qui aborde les points à connaître sur la protection des données, et ce en utilisant des cas concrets, duplicables quel que soit le cœur de métier de l’entreprise. Disponible en français et en anglais, ce guide contient, en outre, une foire aux questions généraliste ainsi qu’un listing des ressources proposées par les autorités en charge de la protection des données.

Pour télécharger le guide : https://www.edpb.europa.eu/sme-data-protection-guide/home_fr

Article publié le 17 septembre 2024 – © Les Echos Publishing 2024 – Crédit photo : Sy

Des forums sur la sécurité économique et numérique

Pour aider les entreprises à protéger leurs informations, l’ANSSI et le SISSE organisent, en collaboration avec les Régions, les préfectures et les CCI locales, des forums SecNumEco sur l’ensemble du territoire national.

La protection des informations ne concerne pas uniquement les responsables de la sécurité des entreprises. En effet, chaque collaborateur peut être la cible d’une attaque et servir de point d’entrée vers le système d’information et les données sensibles de sa société. Les dirigeants d’entreprise doivent donc impliquer chacun de ses membres dans la sécurité économique et numérique. Et pour informer le plus grand nombre sur cet enjeu, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et le Service de l’information stratégique et de la sécurité économiques (SISSE) proposent des forums partout en France.

Apporter des réponses concrètes

Ces forums visent les dirigeants, mais aussi les cadres de PME et d’ETI, et donnent lieu à des tables rondes, des témoignages… Objectif : leur apporter des réponses concrètes afin de mieux faire face aux atteintes de patrimoine matériel et immatériel des entreprises. Sont également présentés les services proposés par l’ANSSI, les CSIRT territoriaux, ou encore les dispositifs pour aider les entreprises à mettre en place des actions de sécurité numérique et économique. Les prochaines sessions sont prévues le 19 septembre à Nantes, le 27 à Saint-Brieuc et le 8 octobre à Bastia. L’inscription, gratuite, est obligatoire.

Pour en savoir plus : https://cyber.gouv.fr/actualites/securite-numerique-et-securite-economique-prevenir-pour-ne-pas-subir

Article publié le 10 septembre 2024 – © Les Echos Publishing 2024 – Crédit photo : Olemedia / Getty Images

Faire jouer son droit à l’oubli numérique

Les moteurs de recherche doivent déréférencer tout contenu portant atteinte à la vie privée ou à la réputation de la personne qui le demande. À cette fin, la plupart d’entre eux proposent aux internautes une procédure de saisie.

Consacré, en 2014, par un arrêt de la Cour de justice de l’Union européenne, le droit à l’oubli numérique permet à tous, particuliers et professionnels, de demander à l’éditeur d’un moteur de recherche de déréférencer (c’est-à-dire de faire disparaître de son index) une ou plusieurs pages web, accessibles en tapant leur nom (à partir d’un ordinateur situé dans un pays de l’Union européenne), et sur lesquelles se trouvent des informations qui constituent une atteinte à leur vie privée ou à leur réputation. Une simple demande transmise via un formulaire est généralement suffisante pour lancer la procédure, sachant que le moteur de recherche peut la rejeter s’il estime qu’elle n’est pas fondée.

Plus de 395 000 demandes chez Google

En près de 10 ans, plus de 395 000 demandes de suppressions d’informations personnelles relatives à 1,2 million de pages web ont été adressées aux seuls services de Google par des internautes français. 50,6 % de ces pages ont été déréférencées. Il faut ici savoir que Google, comme les autres moteurs de recherche, analyse chaque demande et dispose de la possibilité de la rejeter s’il estime qu’il faut maintenir les informations concernées dans l’intérêt général ou qu’elles ne portent pas atteinte à la vie privée du demandeur. Pour nous aider à y voir plus clair sur l’approche des services de déréférencement de Google, plusieurs décisions françaises sont présentées sur son site. En voici 5 :
– une personnalité publique a demandé la suppression des résultats de recherche sur 25 pages web qui diffusaient des images privées de la personne en question. Google a déréférencé ces pages ;- une personne a demandé la suppression de plusieurs résultats de recherche la concernant. Ces derniers permettaient d’accéder à des pages web faisant référence à un poste qu’elle occupait, en étant mineure, au sein d’un parti politique. Google a déréférencé les pages en question ;- le PDG d’une entreprise en ligne a demandé que soient supprimées des résultats de recherche les pages de réseaux sociaux et les articles de presse qui présentaient son site web, au motif qu’ils contenaient des données personnelles et dévoilaient sa vie privée, comme son nom et celui de sa société. Google a supprimé des résultats les pages web associées au nom du demandeur, mais pas celles associées au nom de sa société ;- Google a rejeté la demande d’un prêtre qui souhaitait que les pages web faisant écho à sa condamnation pour détention d’images pédophiles et à son bannissement de l’Église soient déréférencées ;- Enfin, Google a rejeté la demande d’une personne qui souhaitait voir déréférencées des pages web rappelant qu’elle dirigeait une société offshore citée dans l’affaire des « Panama Papers ».

De l’effacement au déréférencement

Avant de saisir les moteurs de recherche, il faut s’adresser au responsable du site sur lequel se trouvent les informations posant problème. Seul ce dernier dispose, en principe, de la possibilité technique de les supprimer. Pour réaliser cette demande d’effacement, il faut avant tout l’identifier et trouver un moyen pour le joindre. En principe, son identité et ses coordonnées sont précisées dans les mentions légales du site (rubrique obligatoire).Une fois cette identification réalisée, il reste à lui adresser un courrier réclamant la suppression des contenus portant atteinte à votre vie privée ou à votre réputation. Le responsable du site dispose d’un mois pour répondre. En l’absence de réponse ou en cas de refus de suppression, vous pouvez déposer une plainte auprès de la Cnil en ligne ou par courrier. Lors de ce dépôt de plainte, il convient de communiquer à la Cnil une copie des courriers adressés au responsable du site et de ses éventuelles réponses. S’ils considèrent la demande justifiée, les services de la Cnil entreront à leur tour en contact avec le responsable du site pour qu’il efface les contenus incriminés.

Contacter les moteurs

Ce n’est qu’après avoir effectué cette démarche (même si elle n’a pas abouti : absence de réponse, refus de suppression, dossier en cours d’examen par la Cnil…) qu’il convient de saisir les services de déréférencement des moteurs de recherche. Ces derniers ne pourront pas supprimer lesdites pages, mais ils pourront en limiter la visibilité en les faisant disparaître des pages des résultats de toute recherche réalisée en utilisant votre nom. Pratiquement, il suffit de remplir un formulaire dédié, d’y joindre une copie de sa pièce d’identité et d’y présenter les motifs de sa demande. Tout demandeur est tenu informé des suites données à sa réclamation. Si elle est rejetée, une fois encore, vous avez la possibilité de vous adresser à la Cnil. Cette dernière disposant de la faculté, lorsqu’elle l’estime nécessaire, de saisir à son tour les responsables du moteur de recherche. Sur une page dédiée à cette question, la Cnil tient, par ailleurs, à jour des liens permettant d’accéder directement aux formulaires des principaux moteurs de recherche utilisés en France (Bing, Google, Qwant…).

Noyer les contenus

Lorsque le déréférencement est refusé, il faut changer de stratégie et tenter de « noyer » les contenus litigieux. Concrètement, cela revient à créer un grand nombre de pages portant des contenus « positifs » et à soigner leur référencement pour que, le plus vite possible, elles prennent la place des contenus litigieux dans les premières pages des moteurs de recherche. Pour cela, il faut s’adresser à une agence web spécialisée dans la e-réputation.

Article publié le 10 septembre 2024 – © Les Echos Publishing 2024 – Crédit photo : Burak.Sur

Diminuer l’empreinte énergétique des produits numériques

Alors que la Commission européenne travaille sur l’écoconception et l’étiquetage énergétique des ordinateurs, l’Arcep propose différentes mesures pour améliorer la durabilité des produits numériques.

Si la numérisation est un facteur de décarbonation de certains secteurs, celui des TIC (technologies de l’information et de la communication), notamment des smartphones ou des ordinateurs, est lui-même producteur de près de 4 % des émissions totales de gaz à effet de serre (GES) dans le monde. Et cela devrait continuer à augmenter : l’empreinte carbone du numérique pourrait, en effet, tripler en France entre 2020 et 2050 si aucune mesure n’est prise. Pour réduire l’empreinte environnementale des appareils, l’industrie doit adopter des principes d’écoconception.

Atténuer l’obsolescence logicielle des ordinateurs

Dans cette optique, l’Arcep vient de publier une note mettant en avant des propositions politiques développées à partir de ses travaux sur le développement durable depuis 2019. Elle propose, par exemple, d’atténuer l’obsolescence logicielle des ordinateurs en assurant un support à long terme de leur fonctionnement systèmes. Ou encore d’étendre les exigences d’écoconception et d’étiquetage énergétique à d’autres produits numériques (par exemple, les routeurs et les décodeurs), en suivant le cadre européen existant pour les smartphones, les tablettes et les ordinateurs.

Pour en savoir plus : www.arcep.fr

Déployer une IA générative respectueuse

Pour accompagner les entreprises qui souhaitent déployer un système d’intelligence artificielle générative responsable et respectueux de la protection des données, la CNIL publie des éléments de réponse.

L’intelligence artificielle dite « générative » permet de créer des contenus (texte, code informatique, images, musique, audio, vidéos, etc.) et de réaliser un certain nombre de tâches visant généralement à accroître la créativité et la productivité des personnes qui les utilisent. Son développement s’appuie sur l’utilisation de gros volumes de données, dont certaines peuvent être personnelles. À ce titre, pour respecter les droits des personnes sur leurs données, la CNIL livre un certain nombre de précautions à respecter.

Encadrer en amont les usages de l’IA

La CNIL recommande, par exemple, de définir en amont les usages de cette IA en créant une liste d’utilisations autorisées et de celles interdites compte tenu des risques encourus (par exemple, ne pas fournir de données personnelles au système, ou encore ne pas confier de prise de décision). Elle insiste également sur le fait de choisir un système robuste et un mode de déploiement sécurisé, en privilégiant le recours à des systèmes locaux, sécurisés et spécialisés. La CNIL devrait de nouveau publier prochainement des recommandations sur les systèmes d’IA générative.

Pour en savoir plus : www.cnil.fr/

Article publié le 27 août 2024 – © Les Echos Publishing 2024 – Crédit photo : imaginima / Getty Images

Un relevé géographique des déploiements des réseaux fixes et mobiles

L’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) propose un relevé géographique des déploiements actuels et à venir des réseaux fixes et mobiles.

C’est une directive européenne de 2018 qui demande aux régulateurs nationaux des réseaux de communications électroniques, dont l’Arcep, de réaliser un relevé géographique précis de l’état des lieux des déploiements et des prévisions de couverture fixe et mobile. Pour répondre à cette demande, l’Arcep collecte des données et échange avec les acteurs en charge des déploiements qu’elle retransmet notamment dans un atlas régional des réseaux de fibre (FttH), avec les dates de fin de déploiement prévues. Les données recueillies sont également publiées en open data et sont disponibles à échelle de la commune.

Adapter le calendrier de déploiement

Grâce à ce relevé géographique, il est ainsi possible de suivre les zones de déploiement des réseaux FttH et notamment celles, en l’état actuel des projets, où le déploiement pourrait ne pas être achevé selon le calendrier prévu par Orange pour la fermeture du cuivre (dont la fermeture commerciale nationale est prévue fin janvier 2026). L’Arcep invite l’ensemble des opérateurs concernés à se saisir de ces informations et à adapter leur calendrier de déploiement et leur calendrier d’arrêt du cuivre afin de s’assurer que les réseaux FttH seront bien complets au moment de la fermeture commerciale du réseau cuivre.

Pour en savoir plus : www.arcep.fr

Article publié le 22 août 2024 – © Les Echos Publishing 2024 – Crédit photo : morfous / Getty images

La CNIL s’interroge sur les évolutions de la publicité en ligne

Alors que la publicité numérique est en plein bouleversement, la CNIL a publié une étude pour mieux connaître les modèles d’affaires publicitaires de demain et les risques que comportent ces évolutions pour la protection des données.

Selon l’Arcom, la publicité numérique représentera 65 % du marché publicitaire à l’horizon 2030. Un marché important qui fait l’objet de nombreux bouleversements : déploiement du système ATT (Transparence du suivi des applications ou App Tracking Transparency en anglais) dans iOS, fin programmée des cookies tiers dans Chrome prévue pour début 2025, essor des modèles d’affaires « consentir ou payer » (consent or pay)… La CNIL cherche à savoir si ces changements sont susceptibles d’apporter un meilleur respect de la vie privée des internautes ou s’ils joueront en faveur des éditeurs.

Quelle protection de la vie privée

Dans ce contexte, elle a missionné deux chercheurs de Télécom Paris pour réaliser une étude économique et concurrentielle des modèles publicitaires alternatifs. Réalisée fin 2023-début 2024 auprès d’annonceurs agences média, régulateurs et spécialistes du secteur publicitaire numérique, l’étude identifie sept types de solutions publicitaires. Elle analyse ces modèles d’affaires au regard de plusieurs critères : intégration technique, acceptabilité pour l’internaute, capacité à répondre aux besoins des annonceurs, mérites en termes de protection de la vie privée et soutenabilité économique le long de la chaîne de valeur.

Pour en savoir plus : www.cnil.fr

Quel internet en France ?

L’Arcep (Autorité de régulation des communications électroniques, des postes et de la distribution de la presse) vient de publier son rapport annuel d’activité sur l’état de l’internet en France.

Ce rapport d’activité de l’Arcep, remis chaque année au Parlement, détaille les actions mises en place pour le bon fonctionnement d’internet et son développement en tant que bien commun. L’édition 2024 livre aussi quelques données issues de ses baromètres sur l’interconnexion des réseaux de données et sur la transition vers le système d’adressage IP (Internet Protocol) IPv6. Elle traite également, pour la première fois, des enjeux de l’intelligence artificielle (IA) générative sur internet.

La transition vers IPv6 se poursuit

Fin 2023, le trafic entrant au point d’interconnexion en France a atteint 46,5 Tbit/s, soit une augmentation de 7,6 % par rapport à fin 2022 (contre 21 % entre fin 2021 et fin 2022). 53 % de ce trafic provient de 5 principaux acteurs : Netflix, Akamai, Facebook, Google et Amazon. La transition vers IPv6 se poursuit, mais avec de fortes disparités. La France est tout de même le troisième pays parmi les 100 comptant le plus d’internautes raccordés en IPv6 par leur opérateur, derrière l’Inde et la Malaisie.

Pour consulter le rapport : https://www.arcep.fr/

Protection des données : des sites et applications mobiles souvent trompeurs

Un audit mené par Global Privacy Enforcement Network (GPEN) révèle que le choix des internautes en matière de protection de leur vie privée sur les sites et applications web est souvent faussé par des mécanismes trompeurs.

26 autorités de protection des données dans le monde se sont rassemblées pour former le Global Privacy Enforcement Network (GPEN), un réseau agissant pour la protection de la vie privée au sein de pays membres de l’OCDE. Ainsi, dans le cadre du GPEN Sweep, auquel la CNIL a collaboré, le réseau a étudié 1 010 sites web et applications mobiles. Son rapport révèle que ces sites et applis ont recours à des mécanismes faussant la capacité des utilisateurs à prendre des décisions éclairées en matière de protection de leur vie privée.

Un langage complexe et déroutant

Concrètement, ces sites et applis mettent, par exemple, en évidence l’option qui protège le moins la vie privée et qui est la plus facile à sélectionner pour l’utilisateur. Ils choisissent un langage complexe et déroutant ou encore obligent à passer par de nombreuses étapes pour trouver la politique de confidentialité ou supprimer son compte… Ces relevés permettront de réaliser des travaux de sensibilisation auprès d’organismes, mais aussi d’orienter la politique des contrôles pour les cas les moins satisfaisants.

Pour en savoir plus : https://www.privacyenforcement.net/content/2024-gpen-sweep-deceptive-design-patterns-reports-english-and-french

La CNIL décode le Règlement européen sur l’IA

Alors que le Règlement européen sur l’IA (RIA) vient d’être publié au Journal officiel de l’Union européenne et entrera progressivement en application à compter du 1er août 2024, la CNIL répond aux questions que pose ce nouveau texte.

Le RIA constitue la première législation dans le monde à vouloir réguler l’intelligence artificielle (IA). Ce règlement européen vise à encadrer son développement, sa mise sur le marché et l’utilisation de systèmes d’intelligence artificielle qui peuvent présenter des risques pour la santé, la sécurité ou les droits fondamentaux. À ce titre, la CNIL, qui travaille depuis un an sur un plan d’action pour promouvoir une IA respectueuse des droits des personnes et sécuriser les entreprises innovant dans ce domaine, propose une série de questions-réponses sur ce nouveau texte.

Articuler RIA et RGPD

La CNIL propose d’abord une présentation exhaustive du RIA : qu’est-ce que prévoit le règlement IA ? Qui contrôlera l’application du RIA dans l’UE et en France ? Comment la CNIL va-t-elle prendre en compte le RIA ?… Elle s’attache ensuite à expliquer en quoi le règlement IA se distingue du RGPD et en quoi ces deux réglementations se complètent. Car si elles présentent de fortes similarités et une complémentarité, leur objet et leur approche diffèrent. Un tableau récapitulatif des spécificités du RIA et du RGPD permet de mieux appréhender leurs spécificités.

Pour en savoir plus : https://www.cnil.fr/

Cookie	Durée	Description
__cf_bm	30 minutes	Ce cookie, défini par Cloudflare, est utilisé pour prendre en charge la gestion des robots Cloudflare.
bcookie	1 year	LinkedIn définit ce cookie à partir des boutons de partage LinkedIn et des balises publicitaires pour reconnaître l'ID du navigateur.
bscookie	1 year	LinkedIn définit ce cookie pour mémoriser les actions effectuées sur le site Web.
li_gc	5 months 27 days	Linkedin place ce cookie pour stocker le consentement du visiteur concernant l'utilisation des cookies à des fins non essentielles.
lidc	1 day	LinkedIn définit le cookie lidc pour faciliter la sélection du centre de données.
UserMatchHistory	1 month	LinkedIn définit ce cookie pour la synchronisation des identifiants de LinkedIn Ads.

Cookie	Durée	Description
INDEED_CSRF_TOKEN	session	Cloudflare définit ce cookie pour sécuriser le site Web et le visiteur en empêchant la falsification des requêtes intersites.
SRM_B	1 year 24 days	Utilisé par Microsoft Advertising comme un identifiant unique pour les visiteurs.

Cookie	Durée	Description
_clck	1 year	Microsoft Clarity utilise ce cookie pour conserver l'ID utilisateur Clarity du navigateur et les paramètres exclusifs à ce site web. Cela garantit que les actions entreprises lors de visites ultérieures sur le même site web seront liées au même ID utilisateur.
_clsk	1 day	Microsoft Clarity utilise ce cookie pour stocker et consolider les pages consultées par un utilisateur dans un seul enregistrement de session.
_ga	1 year 1 month 4 days	Le cookie _ga, installé par Google Analytics, calcule les données relatives aux visiteurs, aux sessions et aux campagnes et assure également le suivi de l'utilisation du site pour le rapport d'analyse du site. Le cookie stocke les informations de manière anonyme et attribue un numéro généré de manière aléatoire pour reconnaître les visiteurs uniques.
_gat_UA-*	1 minute	Une variante du cookie _gat défini par Google Analytics et Google Tag Manager pour permettre aux propriétaires de sites Web de suivre le comportement des visiteurs et de mesurer les performances du site. L'élément de motif du nom contient le numéro d'identité unique du compte ou du site Web auquel il se rapporte.
_gid	1 day	Installé par Google Analytics, le cookie _gid stocke des informations sur la façon dont les visiteurs utilisent un site Web, tout en créant un rapport analytique des performances du site. Parmi les données collectées figurent le nombre de visiteurs, leur provenance et les pages qu'ils visitent de manière anonyme.
AnalyticsSyncHistory	1 month	Linkedin définit ce cookie pour stocker des informations sur l'heure à laquelle une synchronisation a eu lieu avec le cookie lms_analytics.
CLID	1 year	Microsoft Clarity a placé ce cookie pour stocker des informations sur la façon dont les visiteurs interagissent avec le site Web. Ce cookie permet de fournir un rapport d'analyse. La collecte de données comprend le nombre de visiteurs, l'endroit où ils visitent le site Web et les pages visitées.
CONSENT	2 years	YouTube place ce cookie par le biais des vidéos youtube intégrées et enregistre des données statistiques anonymes.
ln_or	1 day	Linkedin place ce cookie pour enregistrer des données statistiques sur le comportement des utilisateurs sur le site web à des fins d'analyse interne.
MR	7 days	Ce cookie, défini par Bing, est utilisé pour collecter des informations sur les utilisateurs à des fins d'analyse.
SM	session	Le cookie Microsoft Clarity définit ce cookie pour synchroniser le MUID entre les domaines Microsoft.
vuid	1 year 1 month 4 days	Vimeo installe ce cookie pour collecter des informations de suivi en définissant un identifiant unique pour intégrer des vidéos sur le site Web.

Cookie	Durée	Description
ANONCHK	10 minutes	Le cookie ANONCHK, défini par Bing, est utilisé pour stocker l'ID de session d'un utilisateur et vérifier les clics des publicités sur le moteur de recherche Bing. Ce cookie contribue également à l'établissement de rapports et à la personnalisation.
MUID	1 year 24 days	Bing utilise ce cookie pour reconnaître les navigateurs uniques qui visitent les sites Microsoft. Ce cookie est utilisé pour la publicité, l'analyse du site et d'autres opérations.
VISITOR_INFO1_LIVE	5 months 27 days	Un cookie défini par YouTube pour mesurer la bande passante qui détermine si l'utilisateur obtient la nouvelle ou l'ancienne interface du lecteur.
YSC	session	Le cookie YSC est défini par Youtube et est utilisé pour suivre les vues des vidéos intégrées dans les pages Youtube.
yt-remote-connected-devices	never	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur qui utilise une vidéo YouTube intégrée.
yt-remote-device-id	never	YouTube définit ce cookie pour stocker les préférences vidéo de l'utilisateur qui utilise une vidéo YouTube intégrée.
yt.innertube::nextId	never	Ce cookie, placé par YouTube, enregistre un ID unique pour stocker des données sur les vidéos de YouTube que l'utilisateur a vues.
yt.innertube::requests	never	Ce cookie, placé par YouTube, enregistre un ID unique pour stocker des données sur les vidéos de YouTube que l'utilisateur a vues.

Cookie	Durée	Description
_cfuvid	session	Ce cookie fait partie des services fournis par Cloudflare - y compris l'équilibrage de charge, la livraison du contenu du site Web et la connexion DNS pour les opérateurs de sites Web.
CTK	5 years	Ce cookie est placé par indeed.com et détermine quelles annonces d'emploi sont montrées au visiteur, et sur lesquelles il clique - ces informations sont utilisées pour rendre les annonces plus pertinentes.
ctkgen	3 minutes	Ce cookie est défini par indeed.com et détermine quelles annonces d'emploi sont montrées au visiteur, et sur lesquelles il clique - ces informations sont utilisées pour rendre les annonces plus pertinentes.