Examin se prépare pour les salons du printemps 2022

Comme au mois de septembre dernier, Examin sera présente au FIC en juin prochain. Le FIC 2021 a été l’occasion de présenter la v1 de notre plateforme, la version 2022 nous permettra de vous révéler la version 2 qui prend en compte nos retours d’expérience et vos commentaires que nous avons collectés ces derniers mois.

Nous aurons par ailleurs la chance de participer au SPRING 50 Paris-Saclay, le 12 mai prochain à l’Ecole Polytechnique, et au salon Vivatech sur le stand du Village by CA du 15 au 18 juin prochains.

Les salons sont toujours aussi importants pour nous, nouvel acteur dans le domaine de la conformité numérique, car ils nous permettent à la fois de nous faire connaitre, de présenter ce que nous savons faire et notre approche ainsi que de recueillir les besoins des acteurs du marché.

Profitons de ces occasions pour nous rencontrer et échanger sur vos pratiques de conformité !

Frédéric Duflot, CEO Examin

Les brèves de la protection des données et cybersécurité

#Cybersécurité



Le Campus Cyber publie un livre blanc consacré à l’évolution de la cybersécurité sur les cinq à dix prochaines années

Un peu plus d’un mois après son inauguration, le Campus Cyber présentait jeudi dernier son tout premier livre blanc, Horizon Cyber 2030, avec l’idée d’anticiper les évolutions de la cybersécurité au cours des cinq à dix années à venir.

La tribune relève que « les auteurs de l’étude ont ainsi dressé des scénarios possibles dans lesquels s’inscrivent les problématiques de cybersécurité à court terme, comme par exemple celui d’une société ultra connectée, avec des standards d’interopérabilité entre les acteurs du numérique, une accélération des échanges de données et de leur vitesse, avec à la clef des évolutions sociétales profondes comme le vote en ligne et le métavers. Ces scénarios offrent de nombreux bénéfices économiques et sociaux, mais constituent aussi une opportunité pour les hackers, qui profitent de l’amélioration des technologies et de l’abolition des frontières sur la toile ».

#Protection des données



Accord pour un nouveau Privacy Shield entre l’Union européenne et les Etats-Unis

Après à peu près 2 ans d’insécurité juridique entre l’Union européenne et les Etats-Unis depuis l’invalidation du Privacy Shield, les deux blocs ont enfin signé un accord de principe sur le transfert de données et un nouveau Privacy Shield s’annonce.

En effet, le président américain Joe Biden et la présidente de la Commission européenne Ursula von der Leyen ont fait une déclaration commune quant à un nouveau texte qui « facilitera les flux de données entre l’UE et les Etats-Unis, en préservant la vie privée et les libertés civiles ». Les deux dirigeants n’ont cependant pas donné plus de détails et doivent encore convaincre que ce texte respectera les standards européens de protection des données.

L’ONG NYOB reste inquiète notamment parce que les États-Unis multiplient les promesses, sans faire évoluer les lois sur la surveillance qui, rappelons le, ont servi de motifs aux précédentes annulations. L’activiste autrichien Max Schrems, à l’origine de l’ONG indique qu’il attend d’en savoir plus sur le texte pour l’analyser en profondeur. L’activiste autrichien regrette que l’UE et les États-Unis « n’aient pas profité de cette situation pour parvenir à un accord de non-espionnage ». Il promet de contester l’accord s’il estime que le texte final ne protège pas suffisamment les utilisateurs européens.

La Belgique lance un « registre RGPD global » répertoriant tous ses fichiers.

Le gouvernement fédéral belge a lancé fin février un portail, mydata.belgium.be, compilant l’ensemble des pratiques liées aux données personnelles collectées, exploitées, conservées et partagés par les administrations. Selon Acteurs publics, il est alimenté par 839 institutions publiques fédérales, dont l’ensemble des ministères, 152 établissements scientifiques, 118 organisations d’intérêt public et de 61 corps spéciaux et autres organisations.

Le site ne contient pas de données personnelles en tant que telles mais des informations liées à ces types de données : nature, responsable de traitement, tiers impliqués, etc.


 Pour ne rien manquer, suivez-nous sur LinkedIn


Zoom sur notre roadmap

En quelques mots, ce mois-ci voit apparaître :

un tout nouveau centre de notifications dans votre tableau de bord ;

un nouveau rôle plus limité pour les évaluateurs et la possibilité d’attribuer    des clients à ce nouveau rôle.

Conformément aux souhaits évoqués dans les réponses au dernier questionnaire, les prochains mois seront consacrés à l’amélioration de l’expérience de notre dispositif d’évaluation. Nous prévoyons ainsi de :

compléter le centre de notifications avec un dispositif de journalisation au niveau du point de contrôle pour conserver l’historique de chaque modification,

permettre d’ajouter des constats d’audit à la volée et de les fixer dans le temps toujours pour conserver la mémoire de votre conformité,

relier les non-conformités à un dispositif de gestion des risques (on vous rassure, ce dispositif sera assez léger pour ne pas vous obliger à une gestion longue et laborieuse de ces risques).

Coté référentiel, rien de nouveau sous le soleil. La norme ISO/IEC 27701 est en bêta test et sera proposée à la prochaine migration.

La plateforme a également fait l’objet d’une migration le 25 mars dernier. La patch note est disponible ici.

Demander une démo

Le point de vue Examin

#Les risques de l’outil Google Analytics (suite) 

Après l’impact de l’annonce des irrégularités de l’utilisation de Google Analytics par les autorités européennes de protection des données (APD), Google recommande l’utilisation de son plus récent outil d’analyse d’audience.

Depuis 2020, plusieurs autorités de protection des données (APD) en Europe ont été saisies par l’organisation non gouvernementale « None Of Your Business », qui  dénonçait les failles de protection des données personnelles lors de l’utilisation de l’outil de mesure d’audience « Google Analytics ». En raison du transfert de données vers les États-Unis, l’autorité française (CNIL) a conclu en février 2022 que l’utilisation de cet outil était en effet non conforme aux dispositions du RGPD, notamment à cause du possible accès aux données personnelles collectées par les services de renseignement américains.

En retour, Google a publié le 18 mars un communiqué sur sa plateforme marketing, en recommandant  l’utilisation de son outil de mesure d’audience annoncé il y a deux ans : le « Google Analytics 4 ». Selon l’entreprise, cet outil permet aux entreprises de comprendre le parcours de leurs clients « tout en donnant la priorité à la vie privée des utilisateurs ».

À ce stade, la solution, qui remplacera complètement l’ancien outil « Universal Analytics » en 2023, semble pouvoir changer le paradigme des transferts des données hors UE, dans la mesure où les adresses IP des utilisateurs ne seront plus conservées par Google. De même, l’entreprise affirme que l’outil a été conçu pour permettre le « contrôle des collectes des données personnelles » par ceux qui utilisent l’outil. 

Mais il nous reste encore à savoir si cette réponse plaira aux autorités de protection des données européennes (APD), qui mettent fréquemment l’accent sur les dangers portés par les géants américains. 

Dans ce sens, l’efficacité de l’abandon des anciennes versions au profit de Google Analytics 4 demeure inconnue. Il ne faut pas ignorer le fait que d’autres outils sont disponibles dans le marché européen, comme c’est le cas du logiciel open source Matomo Analytics, et sont considérés par la CNIL comme compatibles avec la réglementation. Le recours à des alternatives constitue toujours une bonne pratique pour les entreprises qui souhaitent minimiser leurs risques vis-à-vis de leur conformité RGPD, sans toutefois renoncer à l’analyse de leur audience.

#Le règlement e-Privacy


Que faut-il attendre du règlement ePrivacy de l’Union européenne ?

Au vu des nouvelles avancées technologiques survenues depuis l’entrée en vigueur de la directive 2002/58/CE, l’Union européenne ne fait plus de progrès sur la proposition du règlement ePrivacy. Proposé en 2017, le projet a été bloqué pendant trois ans, jusqu’à ce que le Conseil européen ait publié, le 10 février 2021, un communiqué de presse annonçant l’accord des États membres. Toutefois, les discussions se poursuivent et la date de son entrée en vigueur n’a pas encore été définie.

S’il devait être adopté, le règlement ePrivacy remplacerait la directive 2002/58/CE, qui porte sur la confidentialité des communications électroniques. Son but est aussi de prévoir des mesures de protection de la vie privée étendues aux nouveaux moyens de communication, tels que « la voix sur IP, la messagerie instantanée et le courrier électronique Web ». Les principaux changements concernent les données des contenus liées à la communication électronique et en ligne, qui ne devront être accessibles que par l’utilisateur final. Le consentement sera encadré et exigé pour toute utilisation des données stockées sur les appareils des utilisateurs finaux et également pour la collecte de certains cookies sur des sites web. À son tour, la collecte des cookies sera établie par le moyen d’une liste blanche sur le paramétrage des navigateurs, dont la mise en place est adressée aux fournisseurs de logiciels et sera encouragée par le règlement.