• Entrez votre adresse mail pour suivre ce blog et être notifié par email des nouvelles publications.

    Rejoignez 294 autres abonnés

  • Catégories

  • Archives

  • Stats du Site

    • 747,686 hits
  • Conseil en développement et structuration commerciale

RGPD, nous sommes tous concernés

 

 

 

 

 

 

RGPD ou Réglement Général de Protection des Données (ou GDRP en anglais).

Le 28 mai 2018, rentre en vigueur le nouveau règlement en matière de protection des données personnelles.
Toutes les entreprises françaises sont concernées.
Quels que soit leur taille, activité, ou encore leur type de ciblage (particuliers et professionnels), du moment qu’elles résident sur le sol Européen et plus particulièrement Français.

Le règlement impose de nouvelles contraintes aux entreprises et à leurs sous-traitants concernant le traitement des données.
Oui, vous avez bien lu : NOUVELLES CONTRAINTES, avec à la clé des sanctions financières en cas de non-conformité.
Ces sanctions seront fatales aux TPE, PME, si elles sont avérées après plainte d’un usagé (vous, moi, un concurrent jaloux, un client mécontent…) et contrôle.

Maintenant que faire ?

  1.  si vous êtes chef d’entreprise, dépêchez-vous de mettre en oeuvre une démarche de mise en conformité.
  2. si vous êtes salarié et que vous avez compris l’ampleur de la tâche, empressez-vous d’en parler à votre Big Boss, histoire de vérifier s’il ne passe pas à côté de son obligation.

Données personnelles, données sensibles, qu’est-ce que c’est ?

Données personnelles

Pour faire simple je vous donne 2 exemples pour savoir si vous êtes concernés : 1 collecte d’informations commerciales (noms de décideurs, prénoms, mails nominatifs…), création d’informations de scoring, de profilage clients et prospects : vous êtes concerné 2/ établissement de fiche de paie (nom, prénom des salariés, adresses personnelles, téléphones…) : vous êtes concernés
Et je ne parle même pas des questions de vidéo surveillance, de contrôles d’accès, de reconnaissance biométrique, de géolocalisation.

Données sensibles

  • origine raciale ou ethnique
  • opinions politiques
  • convictions religieuses ou philosophiques
  • appartenance syndicale
  • traitement des données génétiques
  • données biométriques aux fins d’identifier une personne physique de manière unique
  • données concernant la santé
  • données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique

Alors, sommes-nous sommes tous concernés, dirigeants, responsables des traitements informatiques, responsables des ressources humaines ? OUI.

Ce que dit le texte

Nous sommes concernés si le traitement comporte des risques pour les droits et libertés des personnes physiques, s’il n’est pas occasionnel ou s’il porte sur des données sensibles

2 niveaux d’information pour comprendre le règlement

  1. de la façon dont j’ai compris la mise en œuvre de la RGPD
  2. en vous donnant quelques liens, en fin d’article, pour vous donner une vision plus officielle de l’affaire

5 points importants parmi d’autres importants aussi

Oui, oui, tout est important !

Les données que nous gérons ne vous appartiennent pas.

Nous sommes responsables de la sécurité des informations que nous détenons.
Nous devons être transparents en cas de réclamation d’un usagé pour le contrôle des données le concernant. Vous le saviez déjà, puisque c’est un aspect avec lequel nous vivons depuis 1978 (loi dite « Informatique et des Libertés »), c’est le droit d’accès aux données.
Nous devons permettre le transfert ou la restitution des données à la demande de son propriétaire. C’est nouveau, c’est le droit à la portabilité des données pour les personnes physiques.
Nous devons garantir le droit à l’oubli, c’est à dite, la destruction des données.
Nous serons obligés de notifier les violations de données personnelles

Pour votre survie, 2 démarches à faire immédiatement

  1. prenez connaissance du texte de loi, mais vite, car votre responsabilité est engagée à partir de mai prochain (liens à votre disposition en fin d’article).
  2. rendez-vous sur le site de la CNIL, qui propose des explications claires (6 étapes) et des modèles de documents à télécharger.

Pourquoi cela va-t-il vous prendre du temps ?

Parce que c’est une conduite d’un projet à risque.
Un risque pour votre activité professionnelle doublé d’une notion de risque pour le propriétaire des données que vous gérez.
Et, il va donc falloir évaluer les risques que vous prenez, puis mettre en œuvre de mesures correctives, de transparence, de traçabilité.

En substance, « l’entreprise doit mettre en place des mesures de protection des données appropriées et pouvoir, si la CNIL le lui demande, être en mesure de prouver qu’elle respecte bien le règlement ».

 6 étapes désignées par la CNIL

  1. Désigner un pilote
  2. Cartographier vos traitements de données personnelles
  3. Prioriser les actions à mener
  4. Gérer les risques
  5. Organiser les processus internes
  6. Documenter la conformité

B to B, B to C, quelle différence ?

Pas de différence affichée pour l’instant.

La Loi de Confiance en l’Économie Numérique de 2004 (LCEN) traite entre autres le principe de consentement pour la prospection commerciale par courrier électronique (toujours présent avec la RGDP).
Il me semblait au début, que le principe de « pas de message commercial sans accord préalable du destinataire » ne distinguait pas les sollicitations commerciales auprès des consommateurs (les particuliers), des sollicitations commerciales auprès des professionnels (nos prospects).
Puis les choses se sont clarifiées. Maintenant, le principe de la prospection par email des professionnels repose sur le principe de « information préalable et droit d’opposition ».

Mauvaise compréhension de ma part ou lobbying des professionnels du métier pour rectifier le tir ? Maintenant les choses sont claires pour les professionnels (B to B).

Pour la RGPD, la position est plus affirmée. Beaucoup de choses ont changé depuis 2004 : fuites de données, piratage, escroquerie et chantage, politiques différentes entre les pays.
Aux États unis, par exemple, la Commission fédérale des communications (FCC) a voté le droit de revente des données personnelles par les fournisseurs d’accès à Internet.
Nos données personnelles sont l’or du 21e siècle.
Donc, en Europe, il y a une la volonté d’obliger à la protection des données personnelles.
Donc inutile de nous lamenter sur notre sort et tentons de survivre à ce chamboulement dont le fondement est louable.

TPE et organismes de formation : la loi de Murphy

En tant qu’organisme de formation, je viens tout juste de sortir d’une démarche de mise en conformité appelée « décret qualité formation ».
Cela m’a demandé un travail fou, mais 80% de mes procédures ont été actées dans le système ad hoc, le DATADOCK. J’ai créé de nouveaux indicateurs pour finaliser les 20% restants, j’attends à ce jour la confirmation finale. Depuis, les AGEFOS PME (financement de la formation) ont accepté la prise en charge d’un parcours de formation auprès d’un client. J’imagine que tout devrait bien se passer pour avoir 100% de conformité maintenant.

J’ai cru que le pire était arrivé pour mon activité professionnelle, compte tenu du travail (improductif) que cela représente, jusqu’au moment où j’ai pris connaissance de la RGPD, car rebelotte.
C’est quand on croit que le pire est arrivé que les choses tournent encore plus mal (loi de Murphy).

Ça, c’est mon côté pessimiste.
L’avantage réside dans le fait qu’avec ce décret en 2017, puis cette directive pour 2018, me voilà rodé et une nouvelle mise en conformité sera plus facile à piloter.
Mais pour beaucoup de TPE et PME cela sera difficile à digérer. Le laxisme habituel ou le découragement devant autant de changements fera prendre plus de risques aux entreprises.
Ma position, comme pour « le décret qualité formation », est d’intégrer cela dans une vision stratégique d’entreprise et de prendre des positions fortes pour me différencier de la concurrence.
Idem pour la RGPD.

Faites-vous votre propre opinion

https://www.cnil.fr/fr/textes-officiels-europeens-protection-donnees
https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels
http://www.zdnet.fr/dossier/rgpd-tout-comprendre-4000237620.htm
http://lentreprise.lexpress.fr/gestion-fiscalite/responsabilites-assurances/protection-des-donnees-personnelles-de-nouvelles-obligations-pour-l-entreprise_1917589.html
https://www.donneespersonnelles.fr/gdpr

La littérature est riche à ce sujet sur Internet.

Rappel

https://www.cnil.fr/fr/la-prospection-commerciale-par-courrier-electronique

Bon courage aux chefs d’entreprise.

Publicités

4 solutions simples de protection des données pour les commerciaux

cc-folder_locked2-128x128 Avec l’affaire Prism, (programme de surveillance de la NSA) nous avons la confirmation « officielle » que nos données privées ne le sont pas.
Les gouvernements sont présents dans les domaines de la surveillance, imaginez les hackers.

Avez-vous pensé à vos connexions web depuis une chambre d’hôtel, aux risques d’espionnage dans les trains, aux vols de vos ordinateurs ?

Non ? C’est le moment de mettre une couche de sécurité.

Le contexte

Sans vouloir être un exemple de sécurité, je souhaite partager quelques choix que j’ai fait en matière de protection des données.

Etant un utilisateur néophyte, les solutions que je vous proposes restent simples à prendre en main. C’est d’ailleurs sur ce critère que je retiens le plus souvent les applications que je teste.

Des tutoriels accompagnent parfois les applications et nous facilitent encore plus leur adoption.

En local (sur vos machines) :

CRYPTAGE des données :

  • CRYPTONITE (tutoriel complet) pour smartphone Androïd
    • gratuit

Internet et navigation :

Moteur de recherche anonyme :

Stockage dans le nuage :

  • WUALA (c’est LaCie, c’est Suisse) : vos fichiers sont cryptés sur votre ordinateur avant leur transfert dans le cloud. Aucun utilisateur non autorisé, pas même les employés de LaCie, n’ont accès à vos données. Vous l’avez compris, cette philosophie n’existe pas auprès des services américains connus comme Box.net, Drop Box par exemple (lois américaines qui imposent aux acteurs de fournir aux services de renseignements toutes les informations qu’ils pourraient demander au nom de la lutte antiterroriste).
    • gratuit jusqu’à 5GB

Pour en apprendre sur le sort de vos données privées

PrivacyFix
Protéger les données sensibles stockées sur votre ordinateur
Stockage en ligneSmartphones mouchards
Protection de la vie privée en ligne et sur les réseaux sans fil
Portail de la sécurité informatique : les mots de passe

L’élicitation késako (partie 2/2) ?

L’élicitation ou l’art de vous faire parler pour vous voler des informations confidentielles sans même que vous ne vous en rendiez compte.

Aujourd’hui les profils des personnes dont il faut se méfier (suite au premier article paru dans ce blog le 13/02/10).

 » L’habile questionneur est inconnu avant cette conversation. Il estparticulièrement sympathique voire empathique, de votre nationalité (français ?) ou francophone et francophile. Il donne peu d’informations sur lui mais il partage vos centres d’intérêt (passion commune, activités sportives ou culturelles…), lesquels en toute hypothèse ne permettront pas de l’identifier (pas de carte de visite professionnelle…). Il est crédible lorsqu’il prétend connaître votre entourage professionnel. Lui parler de vous (ce que chacun d’entre
nous fait le mieux) le passionne littéralement.
– Quelques techniques conversationnelles utilisées, elles reposent sur la séduction intellectuelle et physique, la flatterie de l’ego … :
La flatterie : « – Vous occupez un poste très important !
– Le plaisir de parler de son expertise professionnelle à un interlocuteur qui semble tout aussi expert que soi et à qui l’on n’a rien à cacher car il donne l’impression de faire partie du cercle restreint des initiés (vous n’avez toutefois pas vérifié qu’il n’était pas connu de ce cercle, même s’il le suggère).
– Le souci de susciter l’intérêt d’un jeune et brillant diplômé pour le voir se consacrer à votre branche d’activité professionnelle
– L’échange d’informations. Votre interlocuteur est une mine d’informations qui paraissent confidentielles. Vous lui faites quelques confidences afin que ce flot ne s’interrompe pas.
– L’admiration (ou la détestation) réciproque d’un tiers. Votre interlocuteur vante les qualités de votre collaborateur. Vous
abondez en son sens en lui délivrant des informations (éléments biographiques, compétences, plan de carrière dans l’entreprise …)
qu’il n’aurait pu obtenir en ouvert.
– Séduction masculine ou féminine : le désir de briller devant un interlocuteur particulièrement attirant dans une atmosphère détendue est susceptible de faire perdre la retenue et la discrétion professionnelle habituelle. »

(voir le guide pratique de la sécurité http://www.hfd.minefi.gouv.fr/).

L’élicitation késako ?

Cet article, un peu inhabituel, nous concerne tous.

Nous prospectons en permanence pour nos activités (privées et professionnelles) et sommes forcément amenés à rencontrer beaucoup de gens.

« L’élicitation est une technique d’entretien, issue des sciences sociales, visant à faire s’exprimer des experts pour formaliser leur savoir faire et, par la suite, le modéliser. En résumer il s’agit de vous faire parler pour vous voler des informations confidentielles sans même que vous ne vous en rendiez compte. »

Certains interlocuteurs que vous rencontrez peuvent vous poussez à des indiscrétions sans éveiller votre attention (voir le guide pratique de la sécurité http://www.hfd.minefi.gouv.fr/).

Où/quand se méfier ?

– conversation en tête à tête lors de colloques, réceptions
– déplacements, formations, séminaires, salons, événements
– en général lorsque l’attention se relâche cocktail, pause, repas

Je vous proposerai prochainement un second billet pour vous donner des informations sur les profils des personnes dont il faut se méfier.

Commerciaux vulnérables en déplacement : 20 points à surveiller

Vous le savez l’information commerciale n’a pas de prix.  Aussi soyez toujours un minimum vigilant lorsque vous-vous déplacez  dans le cas d’un salon, colloque, conférence par exemple.

Voici une liste de points sujets au vol d’informations et à surveiller.

Je vous propose ce billet suite à la conversation que j’ai eu la semaine dernière avec un nouveau client. Celui-ci voulant se rassurer sur le futur partenaire que représentait mon entreprise m’a confié être très sensible à la confidentialité.

Son domaine d’activité ne me semblait pas être des plus stratégiques. Et pourtant, il avait déjà connu la visite de concurrents sur son parking relevant les étiquettes sur ses palettes en expédition, ou suivant ses camions pour connaitre ses client :

Dans les transports collectifs (avion, train,etc..) :

  • Évitez de passer des communications téléphoniques à caractère professionnel, audibles par tous
  • Parler à haute voix avec des collègues et d’évoquer le travail
  • Utiliser votre ordinateur portable pour travailler
  • Dicter sur le trajet de retour, le compte rendu d’une réunion
  • Laisser sans surveillance, vos documents, échantillons ou ordinateurs
  • Rédiger ou de lire des documents importants dans des lieux publics

Au restaurant, à l’hotel :

  • Avoir les mêmes habitudes (même adresse, même place, même horaire)
  • Aarler à haute voix avec des collègues et d’évoquer des informations sensibles
  • Griffonner sur la nappe. De jeter dans les poubelles des brouillons ou notes liés à de l’information stratégique
  • Organiser des réunions importantes telles que des négociations dans des hôtels sans bien les connaître
  • Avoir recours aux services proposés tels que fax ou photocopies
  • Laisser dans votre chambre de l’information stratégique
  • De téléphoner de votre chambre, en particulier à l’étranger pour des motifs professionnels
  • Laisser vos téléphones, Organiseur électronique ou ordinateur en chambre
  • Envoyer des informations importantes par  courriel

Dans les salons et foires-expositions :

  • Évitez d’envoyer des jeunes employés et stagiaires sur des salons
  • Ne laissez pas une personne seule sur un stand
  • Ne répondez pas à n’importe quel interlocuteur
  • Ne laissez pas de documents confidentiels sur le stand en particulier aux heures de fermeture
  • Faites vérifier vos stands par le responsable de vos salariés sur le site