Sécurité numérique : l’authentification par mot de passe

La faille numérique que la Cnil rencontre le plus souvent est l’authentification par un mot de passe trop simple qu’un individu malveillant peut facilement pirater.

La Cnil préconise de suivre les recommandations qu’elle a publiées sur ce sujet que vous pouvez retrouver sur son site web (www.cnil.fr). Elle incite notamment à recourir à des mots de passe complexes (en imposant, par exemple, que le mot de passe soit composé d’au moins une lettre en minuscule, d’une lettre en majuscule, d’un chiffre et d’un caractère spécial). La Cnil préconise également de limiter le nombre de tentatives de connexion.

Sécurité numérique : l’authentification à un compte

La 2ème faille numérique à laquelle la Cnil fait référence est l’accès à un espace personnel par une simple URL.

Pour la Cnil, il est important de prévoir un minimum de règles d’authentification à un compte en imposant notamment le recours à un mot de passe complexe.

L’idéal, selon la Cnil, est même de proposer un mécanisme d’authentification fort, c’est-à-dire qui combine au moins 2 des mécanismes suivants :

• un moyen mnémotechnique : un mot de passe, par exemple ;
• un instrument d’authentification : une carte à puce, par exemple ;
• « une caractéristique » propre à l’internaute : une empreinte digitale, par exemple.

Sécurité numérique : l’accès à un compte depuis une URL incrémentale

La 3ème faille rencontrée par la Cnil consiste à permettre à un internaute de se rendre sur son compte depuis une URL incrémentale.

Dans cette situation, pour accéder à son compte client, un internaute va devoir cliquer sur un lien URL légèrement personnalisé pour lui. Or, en modifiant juste un caractère, l’internaute peut se connecter sur le compte d’un autre client.

Pour éviter cette situation, la Cnil recommande de mettre en place un véritable contrôle du droit d’accès au compte client.

Sécurité numérique : le chiffrement des données

La 4ème faille numérique que la Cnil constate est l’absence de chiffrement des données. Or, l’absence de chiffrement de bout en bout des documents rend possible leur consultation en clair par un tiers indésirable.

Pour garantir la confidentialité des documents, la Cnil recommande donc de recourir au chiffrement des données.

Sécurité numérique : l’indexation des fichiers dans un moteur de recherche

La 5ème faille facilement évitable à laquelle la Cnil fait face est l’indexation des fichiers dans un moteur de recherche qui permet à n’importe qui de les consulter.

Pour éviter les robots d’indexation (appelés web crawlers), la Cnil préconise d’utiliser un « robots.txt ». Les moteurs de recherche qui respectent la convention « robots.txt » n’indexeront ainsi pas le contenu des fichiers de votre site Web.

Pour une meilleure sécurité, la Cnil recommande, là encore, de recourir à un dispositif d’authentification, avant de pouvoir consulter les fichiers.

Source : www.cnil.fr

Sécurité numérique : 5 conseils pour éviter les sanctions de la Cnil… © Copyright WebLex - 2019

Paiement en ligne par empreinte biométrique : d’ici décembre 2020 !

L’Observatoire de la sécurité des moyens de paiement (OSMP) a élaboré un plan national visant à mieux sécuriser les opérations de paiement sur le Web par la généralisation de l’authentification du client.

Actuellement, le moyen d’authentification du client généralement utilisé est l’envoi d’un SMS que ce dernier doit recopier sur le site Web sur lequel il procède à un achat. Il est aussi possible que des établissements bancaires imposent désormais une validation par code via le smartphone.

D’ici décembre 2020, selon l’OSMP, ce moyen d’authentification sera remplacé par des outils plus sécurisés pour les paiements de plus de 30 € : parmi ces outils figure, outre la saisie d’un code confidentiel qui peut déjà être mis en place par certaines banques, la saisie d’une empreinte biométrique sur les applications mobiles des banques en ligne.

Par ailleurs, l’OSMP a rappelé que son plan national comporte un 2nd volet visant à améliorer l’infrastructure technique « 3D-Secure » utilisée pour l’authentification d’un client lors d’un paiement par carte en ligne.

Ce nouvel outil nécessitera des développements Web qui devront être opérationnels d’ici mars 2021.

Notez qu’un document de synthèse, publié sur le site Web de l’OSMP, précisera le contenu et les étapes de ce 2nd volet.

Source : Communiqué de l’Observatoire de la sécurité des moyens de paiement du 11 septembre 2019

Paiement en ligne : validé par une empreinte biométrique ? © Copyright WebLex - 2019

Conduite sans assurance : création effective du fichier des véhicules assurés !

Le fichier des véhicules assurés (FVA), dont la création est prévue depuis 2016, est enfin opérationnel.

Les forces de l’ordre peuvent s’en servir dans 2 situations :

• en cas de contrôle ou d’interception d’un véhicule, ils peuvent vérifier sur ce fichier que le véhicule contrôlé ou intercepté est bien assuré ;
• suite à un excès de vitesse ou un franchissement de feu constaté par radar, les officiers de police judiciaire du Centre automatisé de constatation des infractions routières (CACIR) du Centre national de traitement de Rennes peuvent ainsi vérifier que le véhicule flashé est bien assuré.

Notez que les officiers de police du CACIR doivent consulter le fichier dans un délai d’au moins 3 jours après la date et l’heure de l’infraction, afin de s’assurer de l’exacte mise à jour du fichier. Ce délai s’explique par le fait que la Loi impose aux assureurs un délai de 3 jours pour alimenter le FVA de tout nouveau contrat, ou des modifications apportées à un contrat existant.

Dans le cas d’un contrôle à distance, si la consultation du fichier révèle que le véhicule flashé n’est pas assuré, le propriétaire du véhicule va recevoir un courrier adressé conjointement par le Fonds de garantie des assurances obligatoires de dommages (FGAO) et la Délégation à la sécurité routière (DSR). Ce courrier va l’inviter à assurer son véhicule au plus vite et va lui indiquer les sanctions auxquelles il s’expose.

Lorsqu’il sera jugé opportun de mettre fin à cette opération de prévention (dont le délai n’est pas précisé), les propriétaires des véhicules non assurés vont recevoir, à la suite de l’avis de contravention pour l’excès de vitesse ou le franchissement de feu, un avis d’amende forfaitaire de 500 € (minorée à 400 € en cas de règlement dans les 15 jours ou majorée à 1 000 € au bout de 45 jours).

A compter de la 2nde infraction constatant une conduite sans assurance, l’amende peut aller jusqu’à 7 500 €.

Que ce soit à la 1ère ou la 2ème infraction, des peines complémentaires peuvent être assorties, telles que l’annulation du permis de conduire avec interdiction de le repasser ou la confiscation du véhicule.

Source : Communiqué du Ministère de l’intérieur du 15 octobre 2019

Conduite sans assurance : « police is watching you » ! © Copyright WebLex - 2019

Secteur agroalimentaire et lutte contre le gaspillage alimentaire : l’affaire de tous ?

La lutte contre le gaspillage alimentaire concerne de nombreux acteurs du secteur agroalimentaire qui doivent respecter certaines obligations, au rang desquels figure notamment les professionnels de la restauration collective publique et les distributeurs du secteur agroalimentaire.

Ils seront dorénavant accompagnés par les professionnels de la restauration collective et les opérateurs de l’industrie agroalimentaire.

Commençons par les professionnels de la restauration collective privée : ils sont dorénavant tenus de mettre en place une démarche de lutte contre le gaspillage alimentaire. A cette fin, ils doivent réaliser un diagnostic préalable, d’ici le 22 octobre 2020, comprenant notamment :

• une estimation des quantités de denrées alimentaires gaspillées et de leur coût ;
• une estimation des approvisionnements en produits issus de l'agriculture biologique que les économies liées à la réduction de ce gaspillage leur auraient permis de financer.

Ils ont aussi désormais l’interdiction de rendre leurs invendus alimentaires encore consommables impropres à la consommation. Cette interdiction est aussi étendue aux opérateurs de l’industrie agroalimentaire.

Le non-respect de cette interdiction est puni d'une amende de 3 750 €. Cette amende peut être assortie de la peine complémentaire d'affichage ou de diffusion de la sanction.

En outre, les opérateurs de l’industrie agroalimentaire dont le chiffre d'affaires annuel est supérieur à 50 M€ et ceux de la restauration collective dont le nombre de repas préparés est supérieur à 3 000/jour ont jusqu’au 22 octobre 2020 pour signer une convention de don avec une association en vue de lui donner leurs invendus alimentaires.

Enfin, les professionnels de la restauration collective et les opérateurs de l’industrie agroalimentaire devront rendre publics leurs engagements en faveur de la lutte contre le gaspillage alimentaire à compter du 1er janvier 2020.

Sources :

• Rapport au Président de la République relatif à l'ordonnance n° 2019-1069 du 21 octobre 2019 relative à la lutte contre le gaspillage alimentaire
• Ordonnance n° 2019-1069 du 21 octobre 2019 relative à la lutte contre le gaspillage alimentaire

Gaspillage alimentaire : qui est concerné ? © Copyright WebLex - 2019

RGPD : les recommandations de la Cnil confirmées !

Le 19 juillet 2019, la Cnil a publié des recommandations concernant l’application de la réglementation des « cookies » au regard du RGPD.

Ces recommandations prévoient notamment que la simple poursuite de la navigation sur un site n’est plus considérée comme une expression valide du consentement au dépôt de cookies : il est donc nécessaire faire évoluer les sites Web de manière à recueillir le consentement exprès de l’utilisateur au dépôt de cookies.

La Cnil laisse aux personnes concernées une période transitoire de 12 mois pour se conformer à la nouvelle réglementation.

Ces recommandations n’ont laissé personne indifférent : certains professionnels du secteur de la publicité numérique estiment qu’elles sont trop strictes tandis que certaines associations défendant les particuliers estiment qu’elles étaient trop laxistes.

Et 2 de ces associations ont même engagé une action en justice afin de contraindre la Cnil à appliquer ses recommandations tout de suite, sans offrir de période transitoire aux professionnels du secteur de la publicité numérique.

Une action que le juge a rejetée : pour lui, la Cnil peut parfaitement offrir une période transitoire aux professionnels du secteur de la publicité numérique.

Par ailleurs, le juge européen a rappelé un principe, concernant le dépôt de cookies, qui s’applique d’ores et déjà : le placement de cookies nécessite le consentement actif de l’internaute.

Par conséquent, une case cochée par défaut indiquant que l’internaute accepte le dépôt de cookies, et qui oblige ce dernier à décocher la case pour refuser de donner son consentement est une pratique à proscrire. Ce n’est pas considéré comme un consentement actif de l’internaute.

Sources :

• Arrêt du Conseil d’Etat, du 16 octobre 2019, n° 433069
• Arrêt de la Cour de justice de l’Union européenne, du 1er octobre 2019, n° 125/19

Réglementation des « cookies » : les recommandations (illicites ?) de la Cnil © Copyright WebLex - 2019

RGPD et analyse d’impact : pas obligatoire dans certains cas

Pour qu’une entreprise ou une association soit conforme au Règlement Général sur la Protection des Données (RGPD), il est nécessaire qu’elle réalise une cartographie des données à caractère personnel qu’elle est susceptible de collecter.

Cette étape nécessite de réaliser un inventaire de ses traitements, de les classifier, de déterminer les objectifs poursuivis et d’identifier les acteurs qui traitent ces données.

Selon les résultats de cette cartographie, il peut être opportun de réaliser une analyse d’impact, voire obligatoire dans certaines situations.

Une analyse d’impact se décompose en 3 parties :

• une description détaillée du traitement mis en œuvre ;
• une évaluation justifiant de la nécessité de mettre en œuvre un traitement (finalité recherchée, nature des données collectées, durée de conservation des données, modalités d’information des personnes dont les données sont collectées, etc.) ;
• une étude technique des risques sur la sécurité des données (mesures de confidentialités des données, modalités de mise à disposition des données, etc.), ainsi que leurs impacts sur la vie privée.

La Cnil a publié en 2018 une liste de traitement pour lesquels il est obligatoire de procéder à une analyse d’impact. Vous pouvez la retrouver à l’adresse suivante : https://www.cnil.fr/sites/default/files/atoms/files/liste-traitements-avec-aipd-requise-v2.pdf.

En complément, la Cnil vient de publier une nouvelle liste, mais cette fois-ci concernant les traitements de données pour lesquels il n’est pas nécessaire de faire une analyse d’impact. Il est possible de la consulter sur son site web, à l’adresse suivante : https://www.cnil.fr/fr/liste-traitements-aipd-non-requise.

Certains traitements listés vont particulièrement intéresser les entreprises. En voici quelques-uns, à titre d’exemple.

Selon la Cnil, il n’est pas requis de faire une analyse d’impact, pour les entreprises de moins de 250 salariés, pour les traitements permettant :

• la gestion de la paye et l’émission de bulletins de salaire,
• le remboursement des frais professionnels,
• le contrôle du temps de travail,
• le suivi des entretiens annuels d’évaluation.

La Cnil estime aussi qu’il n’est pas nécessaire de faire une analyse d’impact pour les traitements de gestion de la relation fournisseurs. Sont ici notamment visés, les traitements permettant :

• d’établir les titres de paiement (traites, chèques, billets à ordre, etc.),
• d’entretenir une documentation sur les fournisseurs,
• de fournir des sélections de fournisseurs pour les besoins de l’entreprise.

D’autres traitements ne nécessitant pas d’analyse d’impact vont concerner les comités d’entreprise et d’établissement. Il s’agit notamment des traitements permettant :

• la formation des élus,
• de gérer les programmes socio-culturels de l’entreprise,
• la gestion des agendas et réunions.

D’autres traitements ne nécessitant pas d’analyse d’impact vont intéresser seulement certains secteurs. Ainsi, l’analyse d’impact n’est pas requise pour les traitements suivants :

• les traitements mis en œuvre par une association, une fondation ou toute autre institution sans but lucratif pour la gestion de ses membres et de ses donateurs dans le cadre de ses activités habituelles dès lors que les données ne sont pas sensibles ;
• les traitements de données de santé nécessaires à la prise en charge d'un patient par un professionnel de santé exerçant à titre individuel au sein d'un cabinet médical, d'une officine de pharmacie ou d'un laboratoire de biologie médicale ;
• les traitements mis en œuvre par les avocats dans le cadre de l'exercice de leur profession à titre individuel ;
• les traitements mis en œuvre par les greffiers des tribunaux de commerce aux fins d'exercice de leur activité ;
• les traitements mis en œuvre par les notaires aux fins d'exercice de leur activité notariale et de rédaction des documents des offices notariaux.

Association : une sous-location de la salle municipale (il)licite ?

Une association signe une convention d’occupation du domaine public pour utiliser une salle municipale, moyennant une redevance.

Cette association va sous-louer la salle municipale à une trentaine de reprise à des tiers et ainsi réaliser près de 167 000 € de recettes.

Pour la Mairie, cette sous-location de la salle municipale est illicite et les recettes perçues sont publiques. En outre, les dirigeants de l’association ont commis, selon elle, une « gestion de fait » en procédant à cette sous-location illicite : en conséquence, ils doivent lui reverser personnellement les 167 000 € de recettes litigieuses.

Somme que refusent de reverser les dirigeants de l’association : pour eux, les recettes ne sont pas publiques et la sous-location de la salle municipale n’est en rien illicite puisqu’elle est conforme à la convention passée avec la Mairie.

Ils rappellent que la sous-location de la salle municipale est une activité qui n’est pas liée un service communal, mais à une prestation de services privée accomplie par elle. Dès lors, les recettes tirées de cette activité ne sont pas publiques et n’ont pas à être reversées à la Mairie.

Pour le juge, c’est l’association qui a raison : la sous-location de la salle municipale est effectivement régulière car conforme à la convention passée avec la Mairie et les recettes tirées de cette sous-location ne sont pas publiques. La demande de la Mairie est donc rejetée.

Source : Arrêt du Conseil d’Etat du 26 juin 2019, n° 417386

Association : 167 000 € à rembourser à la Mairie ? © Copyright WebLex - 2019

Association : une obligation de déclaration !

Les associations sont tenues de déclarer auprès de la Préfecture la liste de leurs dirigeants, ainsi que leurs procès-verbaux d’assemblée générale. En cas de changement dans l’équipe dirigeante, une nouvelle déclaration modificative doit être faite dans les 3 mois qui suivent ce changement.

Ces déclarations peuvent être faites par internet, via le site service-public (www.service-public.fr), ou par papier, via le formulaire CERFA n° 13971*02. Elles sont alors enregistrées dans le répertoire national des associations.

Si ces déclarations sont obligatoires, de nombreuses associations n’y procèdent pourtant pas. Elles encourent alors la sanction suivante, comme l’a rappelé le Gouvernement : 1 500 € d’amende (3 000 € en cas de récidive).

Source : Réponse Ministérielle Meynier-Millefert, Assemblée Nationale, du 16 octobre 2019, n° 12565

Association : une obligation déclarative à connaître... © Copyright WebLex - 2019

Location Airbnb : les modalités d’échange entre plateformes et mairies connues !

Depuis quelques années, l’activité de location de meublés de tourisme via des plateformes Web, comme Airbnb par exemple, se développe. Pour faire face aux dérives de ce nouveau marché, certaines personnes pratiquant une concurrence déloyale vis-à-vis des hôtels en proposant leur logement en location à des prix très avantageux, le Gouvernement a décidé d’encadrer cette activité.

Ainsi, les propriétaires ou locataires doivent déclarer la mise en location de leurs logements sur les plateformes Web de type Airbnb auprès de leur mairie par tout moyen permettant d'en obtenir un accusé de réception.

Attention : cette obligation de déclaration ne vaut que pour les communes de plus de 200 000 habitants ainsi que pour les communes qui composent la petite couronne de Paris, à condition qu'une délibération du conseil municipal prévoie une telle obligation.

Pour mémoire, les loueurs habitant dans les communes de moins de 200 000 peuvent aussi être soumis à une obligation de déclaration, à condition toutefois que le logement loué ne constitue pas leur résidence principale.

Cette obligation de déclaration doit notamment permettre à la mairie de vérifier que la résidence principale mise en location sur les plateformes Web de type Airbnb ne l’est pas plus de 120 jours/an, comme le prévoit la Loi.

Pour procéder à ces vérifications, la mairie peut demander aux plateformes Web de mise en location de lui fournir certaines informations, auxquelles ces dernières sont tenues de répondre.

Les modalités de ces échanges viennent d’être précisées et s’appliqueront à compter du 1er décembre 2019.

Une mairie ne peut adresser une demande d’information qu’une fois par année civile portant sur l’année en cours et l’année civile précédente. Cette demande se fait par voie électronique.

La plateforme web qui reçoit une telle demande est tenue de répondre dans le mois, en fournissant des informations qui portent sur :

• l'adresse du logement meublé mis en location en précisant, lorsqu’elle en a connaissance, le bâtiment, l'escalier, l'étage et le numéro d'appartement ;
• lorsqu'elle en a connaissance, le numéro de déclaration en mairie ;
• le nombre de jours au cours desquels le logement meublé a fait l'objet d'une location par son intermédiaire.

Source : Décret n° 2019-1104 du 30 octobre 2019 pris en application des articles L. 324-1-1 et L. 324-2-1 du code du tourisme et relatif aux demandes d'information pouvant être adressées par les communes aux intermédiaires de location de meublés de tourisme

Location Airbnb : du nouveau au 1er décembre 2019… © Copyright WebLex - 2019

Loi Energie et Climat : des mesures pour une énergie plus « verte »

• Développer les énergies renouvelables

Les Préfets peuvent désormais accorder des dérogations aux interdictions d’urbanisation futures dans les zones concernées par un plan de prévention des risques technologiques (PPRT).

• Développer les toitures et les parkings « verts »

Le maire peut, dès à présent, déroger à certaines règles d'urbanisme pour permettre l'installation d'ombrières sur les aires de stationnement dotées de procédés de production d'énergies renouvelables.

En outre, au moins 30 % des toitures ou des ombrières surplombant les aires de parking de certains bâtiments soumis à autorisation d’exploitation commerciale devront intégrer un système de production d’énergies renouvelables ou un système de végétalisation (un arrêté ministériel précisera cette disposition).

Cette obligation s’applique à l’occasion de la construction et l'extension de nouveaux magasins, de locaux à usage industriel ou artisanal et de certains entrepôts, hangars et parcs de stationnement couverts, de plus de 1 000 m² d'emprise.

• Développer les panneaux solaires

La Loi Energie et Climat autorise, sur les sites dégradés en zone littorale, le déploiement de panneaux solaires (un Décret doit définir leur emprise au sol maximale).

Par ailleurs, elle autorise la construction de panneaux solaires aux abords des autoroutes et routes express, dans des parcelles déclassées par suite d'une modification du tracé des routes.

Source : Loi n° 2019-1147 du 8 novembre 2019 relative à l'énergie et au climat

Loi Energie et Climat : des mesures pour développer les énergies renouvelables © Copyright WebLex - 2019