RSS Actualités CNIL RSS CNIL http://www.cnil.fr/ fr http://www.cnil.fr/fileadmin/templates/images/contenus/logo_CNIL.png http://www.cnil.fr/ 250 44 TYPO3 - get.content.right http://blogs.law.harvard.edu/tech/rss Wed, 16 Apr 2014 10:27:00 +0200 La CNIL publie les résultats de sa consultation « open data et données personnelles » http://www.cnil.fr/nc/linstitution/actualite/article/article/la-cnil-publie-les-resultats-de-sa-consultation-open-data-et-donnees-personnelles/ Près de 400 personnes ou organismes ont répondu au questionnaire en ligne de la CNIL sur l’open data et les données personnelles. Les résultats révèlent des interrogations persistantes et une demande forte pour des solutions pratiques, notamment en termes d’anonymisation. Les résultats complets sont mis à disposition librement sur data.gouv.fr]]>

Le questionnaire et les personnes ayant répondu :


Pour compléter et élargir les débats de la journée « OpenCNIL » de juillet 2013, la CNIL a mené, au début de l’année 2014, une consultation publique: auprès des acteurs impliqués dans la mise en œuvre d’une plateforme ou d’une politique d’open data ; des producteurs ou gestionnaires d'informations publiques susceptibles d’être ouvertes ; des réutilisateurs à divers titres ; ainsi qu’auprès des référents ou Correspondants Informatique et Libertés (CIL). Au total, 391 personnes ou organismes ont répondu au questionnaire : 199 CILs et référents Informatique et Libertés, 98 réutilisateurs, 45 gestionnaires de données publiques et 49 responsables open data. Si ces chiffres sont assez importants eu égard à la nature de la consultation, cette consultation ne peut, pour autant, être représentative statistiquement de l’ensemble des publics concernés.

L’ensemble des résultats bruts anonymisés du questionnaire sont mis à disposition de tous par la CNIL (les réponses libres aux questions ouvertes ont été en partie effacées afin de ne pas faire courir de risque de ré-identification aux répondants) :
  • Rapport question par question [PDF]
  • Tableau des résultats [XLS] sur data.gouv.fr
La CNIL remercie toutes les personnes qui ont répondu à ces questions.

Les principaux enseignements de la consultation :

Dans leur majorité, les acteurs de l’écosystème de l’open data ont déjà été confrontés à la question des données personnelles.


55% des répondants « responsables open data » et « gestionnaires de données publiques » se sont déjà demandés si certains jeux de données dont l’ouverture était envisagée, pouvaient contenir des données personnelles.
44% des réutilisateurs répondants se sont également posé cette question. Quant aux CIL et référents, seuls 15% disent ne jamais avoir été consultés concernant ces questions d’open data, la moitié d’entre eux ayant été consultés par des « responsables open data » et/ou des « gestionnaires de données publiques », et entre 20 et 25% l’ayant été par des réutilisateurs. Enfin, 1/3 des CIL ou référents Informatique et Libertés répondants ont déjà eu l’occasion de soulever un risque de diffusion de données à caractère personnel lorsqu’ils étaient consultés dans le cadre d’un projet d’open data.

Lorsque cette question se pose, les CILs et la CNIL constituent des interlocuteurs privilégiés. 


Pour tous les publics, le CIL ou référent Informatique & Libertés et le référent pour l’accès aux documents administratifs semblent des recours assez naturels lorsqu’ils existent et sont connus. La CNIL est également citée dans entre 20 et 30% des réponses. En dehors de ces acteurs, les personnes ou entités consultées sont plus diverses :  les  pilotes et responsables open data ainsi que les réutilisateurs font ainsi appel à des réseaux informels d’experts et autres acteurs du domaine.

« Vous avez pris contact avec : »






Le risque de présence de données personnelles est souvent pris en compte, sans pour autant bloquer la diffusion de données si des solutions simples peuvent être trouvées.


Près de 50% des gestionnaires de données publiques répondants ont indiqué avoir déjà fait part de leur opposition à l’ouverture de certaines données au motif d’un risque d’identification de personnes physiques.

Avez-vous déjà fait part de votre opposition à l’ouverture de certaines informations/données détenues ou produites par votre organisme au motif d’un risque d’identification des personnes concernées par les données ?(en valeur absolue)

# (en nombre de réponses)%
Oui souvent37
Oui parfois1635
Non2658
Total45100

Un peu moins de 25% des réutilisateurs répondants ont également indiqué avoir déjà essuyé des refus d’ouverture d’informations détenues par un organisme au motif d’un risque d’identification des personnes (exemples : données concernant des professions libérales et artisans, décisions de justice, données géolocalisées, données INSEE, données de santé, données relatives aux marchés publics, liste des bans de mariage, noms d'élus, …).

Avez-vous déjà, suite à une demande précise, essuyé des refus d’ouverture d’informations détenues par un organisme au motif d’un risque d’identification des personnes concernées par les données ?

# (en nombre de réponses)%
Oui souvent66
Oui parfois1717
Non7677
Total99100

Lorsque les données contiennent ou semblent contenir des données personnelles, l’ouverture des données n’est pas nécessairement bloquée pour autant. Les CIL interrogés recommandent alors l’anonymisation des données (47 cas) ou le recueil du consentement (35 cas), et rarement l’abandon du projet d’ouverture (seulement 6 cas évoqués, en particulier pour des listes incluant des coordonnées de personnes).

Des solutions pratiques (anonymisation ou recueil du consentement) encore vagues


Peu de répondants ont su se positionner face aux questions concernant les techniques d’anonymisation ou de recueil du consentement. Souvent, les méthodes d’anonymisation évoquées sont sommaires (retrait des identifiants directs comme les noms et prénoms).

Comment avez-vous procédé à l'anonymisation ?








Au-delà de ces éléments, la CNIL poursuit ces réflexions en lien étroit avec les autres acteurs open-data.

]]>
Opendata Collectivités locales Actualités Wed, 16 Apr 2014 10:27:00 +0200
Séance plénière du G29 : ordre du jour des 9 et 10 avril http://www.cnil.fr/nc/linstitution/actualite/article/article/seance-pleniere-du-g29-ordre-du-jour-des-9-et-10-avril/ Le G29, groupe des CNIL européennes, s’est réuni en séance plénière les 9 et 10 avril 2014, présidé pour la première fois par Isabelle Falque-Pierrotin. Il a adopté plusieurs avis et lancé une consultation interne sur les éventuelles améliorations à apporter à ses méthodes de travail et de collaboration. ]]>

Les documents adoptés par la 95ème séance plénière :

  • un avis sur la surveillance qui fait suite aux révélations sur les programmes de surveillance ;
  • une réponse à la Communication de la Commission européenne sur le fonctionnement du Safe Harbor ;
  • une déclaration sur la notion de « guichet unique » présentée dans le projet de règlement de l'Union sur la protection des données ;
  • un avis sur l'intérêt légitime sous l'égide de la directive actuelle, mais aussi dans le contexte de la réforme en cours ;
  • un avis sur les techniques d'anonymisation.
Ces documents devraient être prochainement disponibles sur le site du Groupe de travail.

Safe Harbor

Le G29 souligne que la restauration de la confiance dans les transferts UE-USA passe nécessairement par le renforcement des garanties offertes par Safe Harbor qui aujourd’hui n’apporte pas une protection adéquate aux citoyens de l'UE. Si le processus de révision en cours entre la Commission et les autorités américaines ne connaît pas une issue positive, l'accord Safe Harbor devra être suspendu.

Projet de règlement européen et notion de « guichet unique »

Dans sa déclaration sur le guichet unique, le G29 suggère un compromis entre la position du Parlement européen et les propositions actuellement à l'étude au sein du Conseil de l'Union concernant la gouvernance des autorités de protection dans des situations transfrontalières. Le G29 définit les éléments essentiels pour que le guichet unique puisse répondre à la fois aux attentes des citoyens (proximité avec l’autorité de protection pour la défense de leurs droits) et à celles des entreprises (simplification des formalités).

Intérêt légitime

L'avis sur l'intérêt légitime précise les conditions à remplir et les étapes à suivre par le responsable de traitement lorsqu'il recoure à cette notion en application de l'article 7(f) de la directive 1995/46/CE. Il s'agit de garantir que les autres bases légales pour le traitement de données – notamment le consentement préalable – ne sont pas écartées par une invocation systématique de l'intérêt légitime. Le G29 recommande d'insérer dans le règlement européen un considérant précisant les critères à prendre en considération par le responsable de traitement.

Techniques d’anonymisation

Les données anonymes sortent du champ d'application de la réglementation sur la protection des données personnelles.  Pour autant, le G29 formule des recommandations afin d'aider les responsables de traitement à faire le bon choix parmi les différentes techniques d’anonymisation, ce qui est essentiel dans le cadre du développement du Big Data.]]>
Actualités Travaux du Groupe de l’article 29 Projet de règlement européen Fri, 11 Apr 2014 18:09:00 +0200
Affaire PRISM : avis du G29 sur la surveillance massive des citoyens européens http://www.cnil.fr/nc/linstitution/actualite/article/article/affaire-prism-avis-du-g29-sur-la-surveillance-massive-des-citoyens-europeens/ Le 10 avril 2014, le G29 a adopté un avis sur la surveillance des citoyens européens qui fait suite aux révélations sur le programme PRISM. Il appelle à plus de transparence dans les activités des services de renseignement et à un contrôle renforcé de ces activités.]]> Les révélations d’Edward Snowden sur les activités de surveillance massive de la part des services de renseignement aux Etats-Unis et dans l'Union ont provoqué un débat international sur les conséquences de ces pratiques sur la vie privée des citoyens qui ont manifesté leur grande préoccupation. Dans son avis, le G29 souligne l'illégalité de la surveillance massive, systématique et sans distinction des citoyens européens, qui ne saurait être justifiée par la seule lutte contre le terrorisme ou d'autres considérations de sécurité publique. Il rappelle que de telles restrictions aux droits fondamentaux des citoyens européens ne sont pas acceptables dans une société démocratique. En conséquence, le G29 recommande notamment que :
  • Les Etats Membres de l'Union doivent garantir plus de contrôle et de transparence dans les activités de surveillance de leurs services de renseignement. Les individus doivent être informés et bénéficier de garanties adéquates de protection de leurs données lorsque celles-ci sont collectées et transférées.  A cette fin, le G29 souhaite organiser à l’automne un débat sur le thème de la surveillance afin de mieux informer et conseiller les citoyens. Cet événement sera ouvert à toutes les parties prenantes.
  • Afin que les abus des programmes de surveillance ne se répètent pas, un contrôle effectif et indépendant des services de renseignement est nécessaire, contrôle dans lequel les autorités de protection des données doivent jouer un rôle ;
  • Les institutions de l'UE doivent finaliser les négociations sur la réforme de la protection des données personnelles et, en particulier, retenir la proposition faite par le Parlement européen d'un nouvel article 43a, dans le futur règlement, prévoyant l'obligation d'informer les individus lorsqu'il a été donné accès à leurs données à une autorité publique au cours des douze derniers mois ;
  • Un traité intergouvernemental contraignant devrait être adopté afin de donner aux citoyens des garanties fortes en matière d’activité de renseignement.
Le G29 rappelle par ailleurs que le cadre légal européen actuel doit être pleinement respecté. Si tel n’est pas le cas, les responsables de traitement soumis à la juridiction de l'UE peuvent être sanctionnés et les flux de données suspendus par les autorités de protection des données. L'adoption de cet avis du G29 prend une importance particulière du fait de la publication au même moment d’un arrêt de la Cour de justice de l'UE du 8 avril 2014, dans lequel celle-ci déclare la directive 2006/24/CE relative à la rétention des données contraire aux articles 7 et 8 de la Charte des droits fondamentaux de l'UE. Cet arrêt repose sur le constat que la directive, en autorisant la surveillance d'ensemble des données de communications par les Etats, ne limite pas l'impact sur les droits fondamentaux à ce qui est strictement nécessaire.]]>
Citoyens Presse Travaux du Groupe de l’article 29 Société de Surveillance A la une Fri, 11 Apr 2014 18:03:00 +0200
Surveillance excessive des salariés : clôture de la mise en demeure du centre commercial E. LECLERC http://www.cnil.fr/nc/linstitution/actualite/article/article/surveillance-excessive-des-salaries-cloture-de-la-mise-en-demeure-du-centre-commercial-elecl/ La CNIL a adopté le 12 juillet 2013 une mise en demeure publique à l’encontre de la société SAS BRESSE DIS exploitant un centre commercial sous l’enseigne E. LECLERC qui avait mis en œuvre un dispositif de vidéosurveillance disproportionné. Des correctifs ayant été apportés, la CNIL clôture cette mise en demeure. ]]> La Présidente de la CNIL a mis en demeure le centre commercial E. LECLERC de Bourg-en-Bresse notamment en raison de la mise en œuvre d’un dispositif de vidéosurveillance installé dans le local de sécurité du centre commercial.

La mise en demeure pointait le caractère disproportionné du dispositif de vidéosurveillance, qui conduisait à placer les salariés filmés sous surveillance constante et était aussi utilisé pour contrôler leurs horaires de travail. Elle avait également relevé : une information insuffisante des personnes filmées, une durée de conservation des images excessive, et une sécurité insuffisante des données ainsi collectées.

Depuis, le centre commercial a démontré qu’il avait mis en œuvre des correctifs permettant de se conformer à toutes les exigences de la mise en demeure. La Présidente de la CNIL a considéré que l’organisme s’était mis en conformité avec la loi « Informatique et Libertés ». Elle a ainsi décidé de procéder à la clôture de la décision de mise en demeure dès lors que seules les portes d’accès aux locaux réservés au personnel sont filmées. ]]>
Actualités Mise en demeure Surveillance des salariés Salariés Fri, 11 Apr 2014 15:59:00 +0200
Condamnation pour des annuaires en ligne illégaux http://www.cnil.fr/nc/linstitution/actualite/article/article/condamnation-pour-des-annuaires-en-ligneillegaux/ La CNIL a reçu en 2011 de nombreuses plaintes et témoignages à l'encontre de sites qui diffusaient en toute illégalité les coordonnées de personnes. Elle a donc dénoncé ces faits à la justice. La Cour d'appel de Bordeaux a ordonné la suppression des coordonnées collectées de façon déloyale et condamné le responsable de ces sites à 10 000 euros d’amende.]]> En 2011, la CNIL a reçu 150 plaintes et de très nombreux appels concernant plusieurs sites internet dont Webinbox, Habitant-ville, Eopin.info, I décideur et Frenchcity. Ces sites diffusaient, pour chaque ville, des annuaires comportant les noms des habitants, leurs coordonnées, y compris des numéros de téléphone sur liste rouge. Le responsable de ces sites avait développé un logiciel lui permettant de collecter les données à partir de diverses sources (le journal des associations, Google, l'annuaire universel, l'INSEE). Il remettait en forme ces données, puis les rediffusait sans avoir recueilli l’autorisation préalable des personnes concernées. Ces sites généraient des bénéfices à partir des publicités qui y paraissaient. La CNIL a initié de nombreuses démarches auprès des sites pour faire cesser ces diffusions susceptibles d’avoir de graves conséquences : diffusion de coordonnées d'une victime de violences conjugales, d'un travailleur sous mandat judiciaire, de fonctionnaire de police, d’avocats, etc. En l'absence de réponse, la CNIL a saisi le procureur de la République de ces faits. L'Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) a été chargé de l'affaire. Le responsable des sites étant identifié et localisé, le dossier a été confié à la police judiciaire de Bordeaux. La Cour d'appel de Bordeaux a confirmé le 18 décembre 2013 le jugement du Tribunal correctionnel de Bordeaux du 26 novembre 2012, en considérant qu’il était déloyal de recueillir les coordonnées des personnes sur les espaces publics d’internet à leur insu, car ce procédé fait obstacle à leur droit d’opposition. La Cour d’appel a ordonné :
  • la suppression de toutes les données personnelles des victimes déloyalement collectées,
  • la publication de l'arrêt par extrait sur le site de la CNIL.
Elle a condamné le responsable des sites à une amende de 10 000 euros avec sursis pour :
  • collecte de données personnelles par un moyen frauduleux, déloyal et illicite,
  • traitement de données malgré l'opposition des personnes concernées,
  • abus de confiance,
  • traitement de données sans déclaration préalable auprès de la CNIL,
  • divulgation illégale volontaire de données à caractère personnel nuisibles (vie privée).
Cette décision traduit la nécessaire prise en compte des droits reconnus aux personnes par la loi « informatique et libertés ».]]>
Actualités Internautes Presse Annuaires Moteurs de recherche Mon, 07 Apr 2014 09:53:00 +0200
La CNIL rencontre son homologue américain http://www.cnil.fr/nc/linstitution/actualite/article/article/la-cnil-rencontre-son-homologue-americain/
Le lundi 24 mars, Isabelle Falque-Pierrotin, Présidente de la CNIL et du G29, a reçu Julie Brill, Commissaire de la Federal Trade Commission, l’agence fédérale des Etats-Unis en charge, notamment, de la protection de la vie privée des consommateurs.]]>
Cette rencontre entre les deux régulateurs avait pour objectif de permettre à chacun de présenter ses activités phares dans le domaine de la protection des données personnelles. Elle a permis aux autorités d’échanger sur leurs méthodes, leurs points communs et leurs différences. Ces échanges constituent le point de départ d’une étroite coopération entre les deux commissions. ]]> Actualités Coopération internationale Mon, 24 Mar 2014 16:19:00 +0100
Un pouvoir d'investigation renforcé grâce aux contrôles en ligne http://www.cnil.fr/nc/linstitution/actualite/article/article/un-pouvoir-dinvestigation-renforce-grace-aux-controles-en-ligne/ La loi du 17 mars 2014 relative à la consommation donne à la CNIL la possibilité de procéder à des contrôles en ligne.]]> Au titre de ses missions, la CNIL doit contrôler les conditions dans lesquelles les fichiers sont créés et utilisés. En 2013, elle a ainsi effectué 414 missions de vérification. Jusqu’à présent, en fonction du contexte et de la nature des vérifications à mener, la loi Informatique et Libertés donnait à la CNIL le pouvoir de procéder à :
  • des contrôles sur place, au cours desquels la délégation de la CNIL a accès aux matériels (serveurs, ordinateurs, applications…) où sont stockés les fichiers. Ce type de contrôle représente actuellement la grande majorité des vérifications réalisées.
  • des contrôles sur pièce, permettant d’obtenir la communication de documents ou de fichiers sur demande écrite ;
  • des contrôles sur audition, consistant à convoquer dans les locaux de la CNIL les personnes mettant en œuvre un fichier ou leurs représentants aux fins d’obtention de tout renseignement utiles ;
La loi n° 2014-344 du 17 mars 2014 modifie la loi Informatique et Libertés et donne à la CNIL la possibilité d’effectuer des contrôles en ligne, lui permettant de constater à distance, depuis un ordinateur connecté à internet, des manquements à la loi Informatique et Libertés. Ces constatations seront relevées dans un procès-verbal adressé aux organismes concernés et leur seront opposables. Cette modification crée les conditions juridiques qui permettent d’adapter le pouvoir d’investigation de la CNIL au développement numérique. Elle lui offre l’opportunité d’être plus efficace et réactive dans un univers en constante évolution. La Commission pourra ainsi rapidement constater et agir en cas de failles de sécurité sur internet. Elle pourra aussi vérifier la conformité des mentions d’information figurant sur les formulaires en ligne, ou des modalités de recueil de consentement des internautes en matière de prospection électronique. Ce nouveau pouvoir s’appliquera aux « données librement accessibles ou rendues accessibles » en ligne ; il ne donnera évidemment pas la possibilité à la CNIL de forcer les mesures de sécurité mises en place pour pénétrer dans un système d’information]]>
Actualités Vie de la CNIL Missions Contrôles Internet Sécurité du SI Presse Tue, 18 Mar 2014 15:06:00 +0100
Règlement européen et surveillance des citoyens : avancées au Parlement européen http://www.cnil.fr/nc/linstitution/actualite/article/article/reglement-europeen-et-surveillance-des-citoyens-avancees-au-parlement-europeen/ Le 12 mars, le Parlement européen s’est prononcé en plénière sur la proposition de règlement européen ainsi que sur la directive « police et de justice ». Il a par ailleurs adopté une résolution sur la surveillance massive des citoyens européens par la NSA.]]> Le rapport de M. Albrecht sur le projet de règlement relatif à la protection des données personnelles a été adopté à une large majorité, ainsi que le rapport de M. Droutsas sur le projet de directive. En adoptant simultanément ces deux rapports, le Parlement européen confirme son attachement à une approche d’ensemble de la législation en matière de protection des données. Intervenu avant les élections européennes de mai 2014, le vote permet aussi de consolider les travaux accomplis par le Parlement européen depuis la présentation des propositions de la Commission européenne en janvier 2012, avant la transmission à l’assemblée renouvelée et l’ouverture des négociations avec le Conseil de l’Union européenne.

La CNIL continuera de suivre le processus législatif, et en particulier les travaux au sein du Conseil de l’Union Européenne relatifs au projet de règlement, et de faire valoir l’importance d’une vision exigeante de la protection des données des citoyens européens.

En outre, lors de la séance plénière du 12 mars dernier, le Parlement européen a adopté une résolution affirmant que son approbation de l’accord de libre échange UE-Etats-Unis (TTIP) serait liée à l’arrêt par la NSA de ses activités de surveillance massive des citoyens européens. La lutte contre le terrorisme ne saurait justifier, selon les parlementaires, une telle surveillance. Cette même résolution appelle à suspendre le Safe Harbor. Le G29, le groupe des « CNIL » européennes, mène actuellement un travail d’évaluation des garanties apportées par le Safe Harbor en réponse à une communication de la Commission européenne. Il élabore également un avis sur les activités de surveillance de masse qui devrait être publié en mai. D’ores et déjà, la CNIL salue l’introduction par le Parlement dans le texte du règlement d’un contrôle préalable des autorités de protection sur les demandes d’accès aux données relatives à des citoyens européens adressées  à des entreprises par des autorités administratives et judiciaires de pays tiers.

]]>
Actualités Projet de règlement européen Presse Fri, 14 Mar 2014 18:30:00 +0100
Sécurité : Comment construire un mot de passe sûr et gérer la liste de ses codes d’accès ? http://www.cnil.fr/nc/linstitution/actualite/article/article/securite-comment-construire-un-mot-de-passe-sur-et-gerer-la-liste-de-ses-codes-dacces/ Pour accéder à nos comptes en ligne, nous utilisons souvent des mots de passe « faibles» ou le même mot de passe sur plusieurs comptes. Voici quelques astuces pour gérer ses mots de passe personnels en toute sécurité. ]]>

Banque, e-commerce, messagerie, documents, administration : de nombreuses démarches de notre vie quotidienne passent désormais par Internet et par la création de comptes sur les différents sites.

Nombre de ces espaces privatifs contiennent des informations confidentielles qui ne doivent pas être rendues disponibles à des personnes non habilitées. Une étude de 2013 de Dashlane portant sur 100 sites de e-commerce français a révélé que 87% des acteurs de l’e-commerce acceptent encore des mots de passe "basiques" comme "123456", « azerty » ou "motdepasse", qui sont les premiers que les pirates informatiques vont essayer de taper. 17 % des internautes utilisent leur date de naissance.

Qu’est-ce qu’un « bon » mot de passe ?

Un bon mot de passe doit être suffisamment long, et faire au moins huit caractères. Il doit être composé d’au moins 3 types de caractères différents parmi les quatre types de caractères existants (majuscules, minuscules, chiffres et caractères spéciaux). Il ne doit pas avoir de lien avec son détenteur (nom, date de naissance…).

Comment construire un mot de passe sûr ?

Des moyens mnémotechniques permettent de créer des mots de passe complexes, tels que:
  • ne conserver que les premières lettres des mots d’une phrase ; par exemple, la phrase « un Utilisateur d’Internet averti en vaut deux » correspond au mot de passe 1Ud’Iaev2.
  • en mettant une majuscule si le mot est un nom (ex : Utilisateur) ;
  • en gardant des signes de ponctuation (ex : ’) ;
  • en exprimant les nombres à l’aide des chiffres de 0 à 9 (ex : Un ->1).

Avoir 4 ou 5 mots de passe différents pour tous ses comptes est-il suffisant ?

Non, idéalement, il faudrait utiliser des mots de passes différents pour tous ses comptes. Il faudrait donc avoir un mot de passe spécifique pour chaque compte important (ex : compte mail, banque, etc.), et surtout ne pas l’utiliser pour un autre compte. Ainsi, en cas de compromission du mot de passe, les autres comptes ne seront pas compromis. En effet, supposons que vous utilisiez le même mot de passe pour votre compte de messagerie et votre compte de réseau social. Si votre fournisseur de réseau social est victime d’une fuite de données comprenant vos moyens d’authentification, une personne mal intentionnée pourrait les utiliser pour non seulement accéder à votre compte de réseau social mais aussi pour accéder à votre messagerie. De plus, une fois l’accès à votre messagerie obtenu, il deviendra possible de voir la liste des messages d’inscriptions à vos comptes sur différents sites (si vous ne les avez pas supprimés de votre boîte). Il sera ainsi possible de connaître certains de vos identifiants de compte et d’utiliser la fonction d’oubli de mots de passe pour en prendre le contrôle.

Peut-on faire une liste de ses mots de passe ?

Oui, mais pas n’importe comment :
  • ne stockez pas vos mots de passe dans un simple fichier texte stocké sur votre ordinateur ou sur internet ;
  • ne vous envoyez pas vos propres mots de passe sur votre messagerie personnelle ;
  • supprimez systématiquement les messages qui vous sont envoyés par messagerie lors de la création de vos comptes, surtout s’ils contiennent votre identifiant et/ou mots de passe ;
  • configurez les logiciels pour qu’ils ne se "souviennent" pas des mots de passe choisis ou, au moins, définissez un mot de passe principal, ou « mot de passe maître » qui permet de débloquer (ou non) leur utilisation ;
  • Pour gérer ses mots de passe de façon pratique, il existe des « gestionnaires de mots de passe ».

Quels gestionnaires de mots de passe peut-on utiliser ?

Il est recommandé d’utiliser un gestionnaire qui permette de constituer une base de données de mots de passe chiffrée par un unique mot de passe « maître » dont la sécurité a pu être vérifiée. Cela vous permet de ne retenir qu’un seul mot de passe qui ouvre l’accès à tous les autres. Les mots de passe pourront alors être très longs, très complexes et tous différents car c’est l’ordinateur qui les retient à votre place. Ces logiciels facilitent par ailleurs la saisie, sans erreurs, des mots de passe et permet de retenir les nombreux identifiants et comptes que l’on collectionne avec le temps. En pratique, il existe de nombreuses solutions sur le marché. On peut citer entre autres, parmi les logiciels libres régulièrement mis à jour : Keepass, dont la sécurité a été évaluée par l’Agence nationale de sécurité des systèmes d’information (ANSSI), passreminder ou passwordsafe. La vidéo suivante vous explique comment utiliser le gestionnaire Keepass :

Si j'utilise un gestionnaire de mots de passe sur un seul terminal, comment faire si celui- ci tombe en panne?

Parce que cette base de mots de passe est une ressource critique pour pouvoir accéder à vos comptes, il est indispensable de disposer d’une copie de celle-ci sur une clé USB, ou sur tout autre support, que vous gardez soit avec vous, soit dans un endroit sûr. ]]>
Internet Sécurité du SI Fiches pratiques keylogger Coffres-forts numériques Internautes A la une Tue, 11 Mar 2014 10:12:00 +0100
Sanction contre l'association JURICOM & ASSOCIES http://www.cnil.fr/nc/linstitution/actualite/article/article/sanction-contre-lassociation-juricom-associes/ La formation restreinte de la CNIL sanctionne l'association JURICOM & ASSOCIES pour avoir refusé de supprimer les coordonnées de professionnels du droit de son annuaire en ligne « www.actes-types.com ».]]> La CNIL a reçu de nombreuses plaintes de professionnels du droit ne parvenant pas à obtenir la suppression de leurs coordonnées du site internet « www.actes-types.com ». Ce site, édité par l'association JURICOM & ASSOCIES, permet notamment aux internautes d'accéder à des annuaires répertoriant les membres de professions juridiques réglementées (huissiers de justice, avocats, notaires, experts judiciaires, etc.). La présidente de la CNIL a mis en demeure l'association de respecter l'article 38 de la loi « Informatique et Libertés », lequel garantit le droit, pour tout intéressé faisant état d'un motif légitime, de s'opposer à ce que ses données fassent l'objet d'un traitement. L'association ne s'est pas conformée aux termes de cette injonction. Dès lors, une procédure contentieuse a été engagée et a conduit la formation restreinte de la Commission à prononcer, le 29 janvier 2014, une sanction pécuniaire publique de 10.000 € à l'encontre de JURICOM & ASSOCIES. Dans sa décision,  la formation restreinte a rappelé le fait que les noms, prénoms et coordonnées de professionnels soient librement accessibles ne faisait pas obstacle à ce que les intéressés puissent obtenir la suppression de ces données de sites internet. De plus, les plaignants ont apporté la preuve d'un motif légitime au soutien de leur demande en se fondant notamment sur le préjudice de réputation lié à la substitution de numéros surtaxés à leurs coordonnées réelles.]]> Actualités Formation restreinte Sanctions Moteurs de recherche Internet Annuaire universel Justice Presse Mon, 10 Mar 2014 10:07:00 +0100