RGPD : la CNIL publie une liste des traitements pour lesquels une analyse d'impact est requise

Conformément à l’art. 35 al. 4 RGPD, dans une délibération n° 2018-327 du 11 octobre 2018, publiée au journal officiel du 6 novembre 2018, la CNIL a publié la liste des traitements de données personnelles qui nécessitent une analyse d’impact relative à la protection des données.

L’art. 35 RGPD impose au responsable de traitement d’effectuer avant la mise en œuvre ou la modification d’un traitement, une analyse de l’impact des opérations de traitement envisagées sur la protection des données. Cette analyse d’impact doit être effectuée lorsque le traitement envisagé est susceptible, compte tenu de la nature, de la portée, du contexte et des finalités du traitement, d’engendrer un risque élevé pour les droits et libertés des personnes physiques.

Swiss Data Forum : la protection des données est-elle un frein à l’innovation ?

Le Swiss Data Forum est une journée d’échanges organisée par Trivadis SA et qui a pour objectif de présenter des exemples de valorisation des données, de parler des bonnes pratiques et de partager les questionnements sur les données et leur exploitation.

Ce forum propose des keynotes, des tables thématiques sur des sujets divers en lien avec les données, et une table ronde à laquelle je participerai. Il se déroulera le 27 novembre 2018 toute la journée à l’hôtel Aquatis à Lausanne.

Why do you trust Facebook with your data ?

Facebook has had its third security issue since June 2018 and no one besides privacy professionals seems to care. Last Friday Facebook announced that hackers were able to access the personal data stored in 50 million Facebook accounts.

According to Facebook’s statement, the attackers

exploited a vulnerability in Facebook’s code that impacted ‘View As’, a feature that lets people see what their own profile looks like to someone else. This allowed them to steal Facebook access tokens which they could then use to take over people’s accounts. Access tokens are the equivalent of digital keys that keep people logged in to Facebook so they don’t need to re-enter their password every time they use the app.

continuer la lecture

RGPD, entreprise suisse et obligation de notifier une autorité en cas de violation de données

L’article 33 du Règlement général sur la protection des données (RGPD) prévoit notamment qu’en cas de violation de données personnelles (c’est-à-dire s’il se produit une violation de la sécurité entrainant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données personnelles transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ; art. 4 ch. 12 RGPD), le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55.

Les chiffres de la collecte invisible de données par Google

Evidemment, me direz-vous, étant donné le modèle économique de Google qui consiste à fournir des services gratuits en échange de données personnelles utiles au ciblage publicitaire, on pouvait se douter qu’Android, le système d’exploitation pour smartphones de Google, soit une pompe à données. Mais on n’imaginait pas forcément à quel point Android est glouton.

Etude de l’université de Vanderbilt (USA)

Un professeur d’informatique à l’université de Vanderbilt (Nashville, Tennessee, USA) et son équipe ont mené une étude sur la collecte de données par Google. L’étude de 55 pages a été publiée en août dernier et rappelle que Google collecte des informations de deux manières.