Pourquoi les clients des entreprises demanderont leurs données personnelles

4 décembre, 2017 Laisser un commentaire

Je demanderai mes données personnelles dès l’entrée en vigueur du RGPD.

C’est la réflexion que se fait beaucoup d’entre nous. Parmi nous, il y a certainement vos clients.

Pourquoi ces clients vont-ils demander à accéder à leurs données personnelles ?

Deux raisons à cela :

  • Le RGPD prévoit une obligation de transparence à la charge des entreprises ;
  • Le RGPD garantit d’autres droits aux clients des entreprises.

Pour lire l’article entier sur les demandes de clients sur l’accès à leurs données personnelles, c’est ici.

Publicités
Catégories :Juridique, RGPD Étiquettes : , , ,

Le cas Uber : du piratage de données personnelles et des risques encourus

30 novembre, 2017 Laisser un commentaire

Il y a quelques jours nous avons appris qu’Uber s’était fait dérobé les données personnelles de 57 millions de clients et chauffeurs. Cette attaque ne s’est pas produite il y a quelques jours mais en octobre 2016. Ces données personnelles dérobées concernent les noms, adresses mail et les numéros de téléphones des clients ainsi que les informations personnelles des chauffeurs.

Uber a préféré payer 100 000 dollars aux hackers et garder la fuite de données secrète, jusqu’à aujourd’hui.

Rien de tout cela n’aurait du arriver et je ne demanderai pas d’excuse pour cela

Données personnellesRien de tout cela n’aurait du arriver et je ne demanderai pas d’excuse pour cela a déclaré Dara Khosrowshahi, qui est devenu CEO de l’entreprise en septembre dernier.

Ce n’est pas la première fois qu’Uber subi une fuite de données. Ainsi, en janvier 2016, l’attorney general de New York avait condamné Uber au paiement d’une amende de 20 000 $ pour avoir tardé à divulguer une fuite de données en 2014. La société s’était mise d’accord il y a 3 mois avec la FTC – Federal Trade Commission – sur la mise en place d’un accord sur la vie privée. Uber n’avait bien sûr pas évoqué son problème de fuite de données.

Si une telle fuite se produisait en France ou en Europe, que se passerait-il ?

La suite de l’article sur les conséquences d’une fuite de données sur LinkedIn

Growth hacking ou RGPD : qui est le plus fort ?

21 novembre, 2017 Laisser un commentaire

C’est mieux d’être un pirate que de s’engager dans la marine.

Steve Jobs

L’ancien patron d’Apple vantait la position du pirate, celui qui contourne les règles.

Le contournement des règles, c’est la stratégie du growth hacking. L’objectif est simple : trouver une stratégie assurant à l’entreprise une croissance rapide et forte en détournant intelligemment le système.

Dans quelques mois, le RGPD entrera en vigueur. C’est beaucoup moins romantique mais tout aussi incontournable pour une entreprise. On l’a vu, le RGPD va remettre en question certaines pratiques de marketing.

Question : le growth hacking est-il compatible avec le RGPD

Réponse sur Novolab !

Catégories :Juridique, Publicité, Web Étiquettes : , , ,

Le RGPD sonne-t-il le glas de l’email marketing ?

13 novembre, 2017 1 commentaire

Il y a quelques semaines, une entreprise anglaise a renoncé à recourir aux emails marketing. Elle a pour cela effacé l’ensemble sa base de données d’e-mails clients. Volontairement. Pourquoi ?

Elle a identifié 3 risques qu’elle a jugé trop importants :

  • un risque de fuite de données personnelles ;
  • un problème de maîtrise des données personnelles ;
  • un risque financier accru.

Pour lire l’article complet sur le risque que fait courir le RGPD aux emails publicitaires.

Données personnelles et entreprise : quelles obligations ?

10 novembre, 2017 Laisser un commentaire

J’ai commencé la rédaction de ce billet il y a dix ans, si j’en crois WordPress. À l’époque, on ne parlait pas encore du RGPD. Voici le billet enfin publié, certes un peu réécrit.

Les entreprises au premier rang desquels on trouve les e-commerçants veulent et doivent recueillir des données personnelles sur leurs visiteurs, prospects et clients. Ce type d’information étant sensible voire très sensible, la réglementation leur impose un certain formalisme pour les recueillir. Par ailleurs, mal protéger ces données peut avoir de lourdes conséquences.

Les obligations d’information sur le recueil de données personnelles

Les obligations relatives aux données personnellesLe recueil des informations sur les visiteurs, prospects et client ne peut pas se faire n’importe comment. Il est nécessaire d’obtenir l’accord de la personne pour recueillir et utiliser des informations sur elle. L’article 32 de la loi du 6 janvier 1978 prévoit d’être informé :

  • De l’identité du responsable du traitement et, le cas échéant, de celle de son représentant ;
  • De la finalité poursuivie par le traitement auquel les données sont destinées ;
  • Du caractère obligatoire ou facultatif des réponses ;
  • Des conséquences éventuelles, à son égard, d’un défaut de réponse ;
  • Des destinataires ou catégories de destinataires des données ;
  • Des droits qu’elle tient des dispositions de la section 2 du présent chapitre ;
  • Le cas échéant, des transferts de données à caractère personnel envisagés à destination d’un Etat non membre de la Communauté européenne.

Les cookies permettant de recueillir des données personnelles, il est nécessaire de prévenir les visiteurs de leur utilisation. Ce principe vaut de manière générale pour tous les moyens et toutes les informations recueillies : adresse IP, configuration de l’ordinateur… Ce formalisme est toutefois allégé si les informations sont rapidement anonymisées. Lire la suite…

Données personnelles : une infraction peut en cacher une autre

9 novembre, 2017 Laisser un commentaire

C’est un arrêt intéressant à plusieurs titres que vient de rendre la cour d’appel de Paris le 15 septembre 2017.

Les faits tels qu’ils ont été rapportés par la cour sont relativement simples. Une société a collecté massivement les données personnelles contenues dans une base de données mise en ligne par l’une de ses concurrentes.

Un tel comportement pose deux questions sur le plan juridique : qu’en est-il de l’infraction d’accès, maintien et extraction frauduleuse des données ? Qu’en est-il de l’infraction de collecte déloyale de données personnelles ?

L’accès et le maintien dans un système de traitement de données

Données personnelles

Dans le cas présent, l’infraction d’accès et de maintien dans un STAD n’a pas été retenue. En effet, il apparait que le site dont les données ont été aspirées avait laissé l’accès ouvert au public n’avait pas mis en place de protection particulière oun’avait pas manifesté sa volonté d’en restreindre l’accès. La cour dit en substance que « Il n’y a pas eu utilisation d’un mode irrégulier de pénétration dans le système de traitement automatisé de données« .

Dans la mesure où les données sont librement accessibles en ligne, l’infraction d’accès et de maintien dans le système ne peut tenir.

En revanche, il y a une infraction connexe, l’extraction frauduleuse de données. Pour la cour, cette infraction est constituée. Ce n’est pas parce que l’accès aux données est libre que l’on peut extraire les données comme on veut. C’est donc bien deux choses différentes.

La cour souligne par ailleurs que les conditions générales du site interdisent l’utilisation et l’exploitation son contenu, c’est à dire les données, sans autorisation. La cour rappelle que l’extraction a été importante : « environ 16% des données du site victime sachant que ces données ne pouvaient être extraites sans autorisation expresse« .

La question des données personnelles

Les données extraites du site ont une qualité particulière : ce sont des données personnelles et à ce titre, elles bénéficient d’un régime juridique particulier. Le RGPD ne s’applique pas encore mais l’utilisation des données personnelles est d’ores et déjà soumis à une réglementation contraignante : la loi du 6 janvier 1978.

Protégez vos données personnellesConcernant les données personnelles, la cour écrit qu »Il s’agit des adresses électroniques avec des données nominatives pouvant être tant des personnes morales que des personnes physiques« .

La cour ajoute « L’utilisation de scripts ou robots visant à collecter et sélectionner les données notamment aux fins de savoir si le client était actif ou non sur le site […] constitue un moyen déloyal et frauduleux pour avoir été recueilli à l’insu des personnes physiques titulaires des adresses électroniques« .

Il n’est pas établi comme le soutient M. X. que le site […] s’adresse à un public exclusivement professionnel pour la réservation de divers évènements à caractère plus ou moins restreint. L’adresse apparente des organisateurs n’implique pas nécessairement l’autorisation explicite de leur part d’utiliser leur adresse s’agissant des personnes physiques n’ayant pas une adresse professionnelle spécifique. Le caractère accessible de ces adresses électroniques et l’absence de plainte n’établissent pas l’acceptation expresse d’utilisation de ces adresses électroniques. Le moteur de recherche utilisé pour accéder au site importe peu« .

La cour a considéré que l’infraction de collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite prévue à l’article 228-1 du code pénal était constituée.

En revanche, il y a une question qui n’a pas été tranchée par la cour parce qu’elle n’en n’a pas été saisie : quid de l’absence de protection des données personnelles qui étaient librement accessibles en ligne ?

En effet, même si le RGPD qui impose une étude d’impact sur la vie privée n’est pas encore en vigueur, laisser librement accessibles des données personnelles n’est pas envisageable.

L’article 226-17 du code pénal prévoit ainsi que « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en oeuvre les mesures prescrites à l’article 34 de la loi n° 78-17 du 6 janvier 1978 précitée est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende ». Les mesures prescrites par l’article 34 de la loi du 6 janvier 1978 sont « toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès« .

Il existe une solution pour vous préserver d’un tel risque : mettre les données personnelles au cœur de votre stratégie grâce au Privacy by Design.

L’arrêt de la cour d’appel de Paris est disponible sur le site de Légalis.

Cartographier vos données personnelles

16 octobre, 2017 Laisser un commentaire

Le RGPD entre en vigueur dans quelques mois. Il est temps pour les entreprises de cartographier leurs traitements de données personnelles, première étape pour respecter leurs nouvelles obligations vis-à-vis notamment de leurs clients.

Cette première étape sera normalement suivie de la rédaction d’une étude d’impact sur la vie privée. L’objectif est dans ce cadre de limiter autant que faire se peux l’impact des traitements de données personnelles sur la vie privée des personnes concernées.

Et vous, où en êtes-vous de la mise en place de votre cartographie de données personnelles ?

Catégories :Juridique