Cookies : La CNIL essuie des critiques

Cookies

 

 

 

 

 

 

 

 

 

Les nouvelles lignes directrices de la CNIL concernant les traceurs et les cookies sont critiquées de toutes parts. Trop laxistes pour certains, excès de zèle pour d’autres. Retour sur cette décision avec les changements apportés et les réactions des propriétaires de site web. 

Action positive pour le consentement

La Commission Nationale Informatique et Libertés est plus stricte dans son approche en ce qui concerne les traceurs et les cookies. Conformément à l’entrée en vigueur du RGPD, la CNIL a dévoilé ses nouvelles lignes directrices qui prévoient des exigences supplémentaires. La première concerne le consentement de l’utilisateur. Si auparavant, la poursuite de la navigation était synonyme d’un accord tacite, ce n’est plus le cas actuellement. La commission exige désormais une action positive de la part de l’utilisateur. Cela vaut pour chaque finalité de cookies. Par ailleurs, si les cookies de mesures d’audience en sont exemptés, les règles sont plus contraignantes. Voilà les principaux changements par rapport à la recommandation de 2013.
Pour rappel, les cookies permettent aux sites Internet de reconnaitre les utilisateurs et de collecter des données de navigation plus ou moins personnelles. L’enjeu pour les entreprises concernées est de pouvoir proposer des offres de produits ciblés. Pratiquement tous les sites font usage de cookies dans un monde concurrentiel où les données gagnent de plus en plus d’importance. 

Une avancée pour les utilisateurs ?

Bien entendu, les utilisateurs gagnent davantage de pouvoir avec les nouvelles directives de la CNIL, car auparavant ils ne se rendaient pas forcément compte de la présence des cookies en poursuivant la navigation. Grâce à cette mise à jour, ils doivent faire un acte positif en cliquant sur un bouton pour signifier qu’ils acceptent. Les internautes devraient donc avoir une meilleure connaissance des usages, ce qui n’était pas forcément le cas auparavant. Les utilisateurs faisaient rarement attention à ce genre de chose, notamment les politiques de confidentialité.
Pour la mise en conformité à ces nouvelles directives, la CNIL donne 12 mois aux entreprises. Durant cette période de transition, les sites devront rédiger de la documentation et apporter des modifications à leurs procédures. Il n’est pas exclu qu’ils doivent aussi former leurs salariés. 
L’agence Futur Digital peut accompagner les entreprises à aborder de manière plus sereine cette période, car il ne faut pas oublier que les contrevenants seront exposés à de lourdes sanctions. C’est le cas notamment des petites et moyennes entreprises qui peuvent se perdre dans les méandres de ces nouvelles exigences.

Les critiques fusent

Comme il fallait s’y attendre, la CNIL s’est heurtée à la réticence des entreprises qui dénoncent un excès de zèle de la part de l’autorité. Des associations professionnelles du secteur ont d’ailleurs déposé des recours devant le Conseil d’Etat. L’interprétation juridique du RGPD a d’ailleurs été soulevée, l’approche étant considérée trop radicale.
La CNIL n’est pas épargnée par les associations de consommateurs pour autant. Ces dernières s’insurgent contre le délai décidé par l’autorité en insistant que les discussions sur le texte datent déjà de sept ans. Pour elles, il ne devrait plus y avoir de période de transition.

 

 

L’importance de la politique de confidentialité sur un site Web

Rgpd

     

 

 

 

 

     Une politique de confidentialité inclut une section de texte du site qui indique aux visiteurs et aux clients quelles données  sont collectées. Elle explique également comment elles sont utilisées. Voici tout ce qu’il faut connaitre pour mettre en place une politique de confidentialité.
La plupart des politiques de confidentialité incluent quelques sections clés. Celles-ci comprennent les pratiques de collecte d'informations et la manière dont elles sont partagées ou utilisées. Elles incluent également des détails sur la manière dont les utilisateurs peuvent contrôler l'utilisation de leurs informations. La politique de confidentialité d’un site varie en fonction de l’utilisation des données client. Pour mieux comprendre ce qu’il en est, voici ce qui peut être mentionné. 

Rassurer les visiteurs

Le site peut dire qu’il recueille et accède aux informations que les visiteurs fournissent volontairement. Il peut également rassurer le client que les données à leur disposition ne soient ni vendues ni louées à un tiers. La politique de confidentialité peut ensuite indiquer que les informations seront utilisées pour contacter directement le client et lui proposer des produits et des services plus personnalisés ou des offres spéciales. 
Enfin, il y a le contrôle des données par le visiteur. Le site doit informer son client que celui-ci a la possibilité de se désinscrire du système de communication à tout moment par un appel téléphonique ou un mail. Il peut également avoir accès aux données qui ont été recueillies à son sujet et d’en apporter des modifications s’il le souhaite, voire d’en exiger la suppression. Le visiteur doit par ailleurs être mis au courant pour l’utilisation de cookies, car il est également question de collecte de données personnelles. Un autre élément important de la politique de confidentialité est la sécurisation des données. Le site doit crypter les informations pour éviter toute fuite.

Se conformer à la loi

Il y a actuellement sur le Web des générateurs de politique de confidentialité. Il permet de créer rapidement une description personnalisée d’un site. Pour cela, il suffit de répondre à quelques questions. Cela génère ensuite un texte conforme aux lois sur la protection de la vie privée la plus courante. Sinon, il y a des modèles où il faut simplement remplir les blancs. L’important est de trouver celui qui correspond à l’entreprise.
La politique de confidentialité doit être mise à jour suivant les modifications que le site peut apporter à ses pratiques de collecte ou de partage de données. Il en est de même chaque fois qu’une modification majeure d’une loi sur la protection de la vie privée affecte l’entreprise. 
C’est le cas par exemple lorsque le règlement général sur la protection des données a été mis en œuvre en 2018 pour toutes les entreprises qui collectent des données auprès de clients dans l'ensemble de l'Union européenne. Cela signifiait que chaque entreprise ayant des activités dans l'Union ou avec des clients de l'Union pendant cette période devait mettre à jour ses politiques pour se conformer à la nouvelle loi.
L’agence Futur Digital peut aider une entreprise à adapter sa politique de confidentialité à son activité.
 

 

 

Comment se tenir prêt pour la conformité aux normes RGPD ?

Gdpr 1

La protection des données est devenue un élément important de l’économie numérique. Dans ce sens, l’Union européenne a mis à jour cette année ses textes réglementaires sur la protection des données personnelles qui datent de 1995. Ainsi, les entreprises concernées sont tenues de se conformer au Règlement général sur la protection des données (RGPD).

Règlement non suivi

Bien que le règlement européen soit entré en vigueur le 25 mai 2018, de nombreuses entreprises ne se sont pas encore conformées aux nouvelles dispositions. Pourtant, le règlement indique que les entreprises sont responsables des données qu’elles récoltent, mais aussi celles qu’elles transmettent à leurs sous-traitants. Dans ce sens, elles doivent tout mettre en œuvre pour protéger ces données. Si une entreprise manque à ces obligations, elle encourt jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires. 
Autorité saisie en cas d’infraction, la Commission nationale de l'informatique et des libertés (CNIL) accompagne également les dirigeants d’entreprise dans cette transition qui représente pour eux un vrai challenge. Dans ce sens, la commission a notamment indiqué sur son site ce qu’il faut faire pour se préparer au RGPD, dont voici les grandes lignes. 

Désigner un délégué à la protection des données

Le RGPD exige la désignation en interne d’un délégué à la protection des données pour une entreprise qui suit régulièrement et systématiquement des personnes ou qui traite des données dites sensibles. Il a un rôle d’information, de conseil et de contrôle du respect du règlement en interne. Il est également l’interlocuteur avec la CNIL.
Recenser les traitements de données et prioriser les actions à mener
En se penchant de manière précise sur les traitements des données personnelles sur le site, une entreprise peut savoir à quel point le nouveau règlement impacte son activité. Pour cela, elle doit recenser les traitements de données proprement dits, reconnaître les catégories des données traitées et les objectifs de ces traitements. Il est aussi primordial d’identifier les acteurs impliqués afin d’actualiser les clauses de confidentialité s’il s’agit de sous-traitants. Enfin, l’origine et la destination des données doivent être précisées. 
Une fois la cartographie des traitements de données effectuée, il est plus facile d’identifier les actions à mener pour se conformer au RGPD. Pour cela, il faut s’assurer que seules les données strictement nécessaires à l’activité de l’entreprise soient traitées. Il faut aussi identifier la base juridique du traitement comme le consentement de la personne par exemple. Il est aussi important de vérifier que les sous-traitants soient au courant des nouvelles dispositions. 

Mener une analyse d’impact relative à la protection des données

Pour s’assurer de créer un traitement de données conforme au RGPD, il faut réaliser une analyse d’impact relative à la protection des données. Il s’agit d’un outil qui évalue l’impact d’un traitement sur la vie privée sur la base des principes et droits fondamentaux et de la gestion des risques sur la vie privée. L’analyse doit être faite avant la mise en œuvre du traitement ou après des modifications majeures au sein de l’exécution du traitement. Il faut savoir toutefois qu’elle est obligatoire pour les traitements qui peuvent engendrer des risques élevés pour les droits et libertés des personnes concernées.
Pour certaines entreprises, se conformer aux dispositions du RGPD est un véritable casse-tête. Dans ce sens, l’agence Futur Digital peut être d’une grande aide. 

Les sites non HTTPS ciblés par Google Chrome 62

Https securiteGoogle a toujours œuvré pour l’optimisation de la sécurité des utilisateurs et de leurs données sur le web. Prévu pour le mois d’octobre 2017, Chrome 62 a été conçu pour mieux informer les utilisateurs sur les risques liés aux interactions sur des plateformes non HTTPS.

Chrome 62 : un nouveau système d’avertissement à la disposition des utilisateurs

Récemment, Google a lancé une vaste campagne e-mailing ayant pour objectif d’informer les webmasters sur les changements apportés à Chrome. A partir du mois d’octobre 2017, le navigateur va fournir un nouvel avertissement “non sécurisé” aux internautes accédant à des sites non HTTPS.

L’avertissement est disponible en navigation classique, en navigation privée et serait dynamique, selon la firme de Mountain View.

En navigation non privée, la version 62 de Chrome avertit l’utilisateur dès que celui-ci renseigne un champ sur une plateforme non sécurisée. Le message devrait s’afficher même si il n’était pas présent durant le chargement de la page.

En mode privée, elle informe l’internaute sur la faible protection de leurs données dès le chargement des pages de sites non HTTS, mais également lors du remplissage de champs.

Un encouragement à la migration vers HTTPS

Les messages d’avertissement sont déjà présents sur les anciennes versions de Google Chrome, mais cette mise à jour devrait permettre au navigateur de cibler un nombre plus important de sites présentant des interfaces non-sécurisées. Elle vise aussi à mieux informer les utilisateurs sur les risques qu’ils encourent.

En renforçant l’efficacité de son système d’avertissement, Google souhaite encourager les plateformes à migrer vers HTTPS et donc de fournir un meilleur niveau de sécurité aux internautes. En refusant de se plier à cette exigence, un site web s’expose à divers problèmes, tels que l’augmentation du taux de rebond. 

A titre d’information, près de 50% des Français privilégient Google Chrome lors de leur navigation sur la toile.

Vous souhaitez bénéficier d’un accompagnement de professionnel dans la création et le renforcement de la sécurité de votre site web ? Contactez Futur Digital.

Les précautions à prendre pour éviter les piratages informatiques

HackingAucun site n’est à l’abri d’une attaque informatique pouvant entrainer de graves répercussions sur ses activités. Hormis les anti-virus classiques, il est nécessaire de prendre quelques précautions afin d’empêcher les piratages.

Les solutions pour sécuriser un site web

Un simple anti-virus peut difficilement bloquer les attaques informatiques sur un site web. Pour se protéger contre le piratage, il est tout d’abord conseillé d’installer un plug-in de sécurité sur son CMS.

Ensuite, il est important de changer les droits des divers fichiers de sa plateforme. Cette opération est réalisable, à condition que le serveur accepte les modifications.

Après les changements de droits, il est indispensable de mettre en place un système de sauvegarde régulier des données. Cette mesure permet d’effacer les éventuels fichiers corrompus, en cas de piratage, sans pour autant perdre les données de sa plateforme.

A titre d’information, il est également recommandé d’effectuer une mise à jour constante de son système de protection.

Que faire en cas de hacking ?

Dans de nombreux cas, un site ayant subi une attaque informatique présente des modifications qui n’ont pas été effectuées par son administrateur. Ces modifications peuvent toucher sa mise en page et entrainer des dysfonctionnements au niveau du panneau d’administration : touche ne répondant pas, etc.

Dès la détection d’un changement inhabituel sur sa plateforme, il faut en premier lieu analyser ses données puis, faire appel aux autorités compétentes. Afin de paraître crédible aux yeux de la police et de porter plainte plus facilement, il est fortement conseillé de réunir et de présenter toutes les preuves de l’attaque.

Il est à noter que, certains CMS sont nettement plus aisés à pirater que d’autres. Bien qu’il soit le système de gestion de contenu le plus utilisé, Wordpress est sans nul doute le plus fragile face aux attaques informatiques.

Vous souhaitez renforcer la sécurité de votre site et de vos données ? Faites appel à un professionnel. Contactez Futur Digital.

WordPress 4.7.1 : mis en place pour résoudre des problèmes de sécurité

Security wordpressWordPress 4.7.1 a connu récemment une mise à jour pour permettre aux utilisateurs du système de gestion de contenu open-source de résoudre un certain nombre de problèmes de sécurité. Les développeurs de WordPress incitent donc les utilisateurs du CMS à appliquer la mise à jour qui corrige les failles de sécurité enregistrées dans les versions antérieures. Découvrez les avantages de cette nouvelle version.

Les problèmes de sécurité résolus grâce à la nouvelle version WordPress 4.7.1 

La version WordPress 4.7.1 corrigent les failles de sécurité telles que :

  • Remote code execution (RCE) dans PHPMailer. La mise à jour a concerné PHPMailer. 
  • TREST API qui expose les données utilisateurs à tous ceux qui disposent des droits de publication d’un article public. La nouvelle version a posé des limites spécifiques sur l’API REST.
  • Cross-site scripting (XSS) via le nom d’un plugin dans update-core.php.
  • Cross-site request forgery (CSRF) bypass via l’upload de fichier Flash.
  • Cross-site scripting (XSS) via le fallback du nom du thème.
  • La publication via le mail par défaut mail.example.com si les paramètres par défaut n’ont pas été modifiés.
  • Cross-site request forgery (CSRF) au sein de l’édition live des widgets. Le CSRF aussi appelé XSRF est un type de vulnérabilité des services d’authentification web.
  • La faiblesse cryptographique dans l’implémentation de la clé d’activation en mode multisite.

Comment procéder à la mise à jour ?

Le processus de mise à jour se fait automatiquement. Si toutefois, les mises à jour automatiques des versions sont désactivées, il faut aller sur le tableau de bord dans «  Mises à jour » et cliquer sur « Mettre à jour maintenant » et le tour est joué.

Pour tous vos soucis de sécurité sur Internet, n’hésitez pas à recourir le service d’un professionnel. Faites appel à Futur Digital.

L’Europe encore vulnérable à une cyber-attaque majeure

Cyber attaqueEn 2016, l’Union Européenne a réalisé son quatrième exercice de cyber défense et malgré les mesures prises, il semblerait que le Vieux Continent ne soit pas encore prêt à faire face à une cyber-attaque majeure.

Une simulation pour évaluer le niveau de sécurité en Europe

Le quatrième volet de l’exercice de cyber défense “Cyber Europe 2016” a vu la participation de 28 pays de l’UE, ils ont évalué et optimisé leur capacité à faire face à d’importantes attaques informatiques.

Mobilisant plus de 1 000 personnes, l’exercice a duré plus de six mois et s’est terminé par un entrainement intensif de deux jours, le 13 et 14 octobre. Elle a été réalisée sous la supervision de l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information) et a porté aussi bien sur des données informatiques que sur des comptes de réseaux, des spots d’information télévisuels et des articles diffusées en ligne.

Pour mettre les participants dans une situation plus ou moins réelle d’attaque cybernétique de grande ampleur, les organisateurs ont imaginé un scénario catastrophe dans lequel un groupe de pirates procèdent à la diffusion de faux messages sur les médias sociaux, de révélations compromettantes ainsi qu’à la suppression de données d’entreprises et d’organisations européennes. 

Des efforts à fournir

Après le quatrième volet de l’exercice, l’Agence européenne chargée de la sécurité des réseaux de l’information a effectué un bilan et a remarqué, dans un premier temps, une certaine amélioration de la coopération de crise au niveau de l’Union Européenne.

Elle a également constaté que la gestion et la communication de crise ont atteint un niveau plus élevé sur le Vieux Continent.

Toutefois, l’agence a décelé un manque d’efficacité dans les processus mis en place pour la gestion d’une cyber-attaque de grande ampleur. Pourtant, selon elle, l’efficacité opérationnelle générale dépend en grande partie de celle de ces processus.

Dans l’optimisation de la sécurité de votre site web, n’hésitez pas à faire appel à l’expertise de Futur Digital.

Comment se prémunir d’une fraude sur internet ?

Fraude internetL’achat en ligne s’est démocratisé partout dans le monde. Personne n’est à l’abri d’une fraude lors d’un paiement sur internet. Il est donc essentiel de mieux s’organiser et de se protéger face à cette menace à dimension internationale, puisque les arnaqueurs ont la capacité de créer un site « vitrine ».

Vérifier la véracité du site avant d’acheter

Quelques outils peuvent être téléchargés gratuitement pour fournir l’évaluation donnée par les cybernautes. Ces add-on peuvent répondre sur la crédibilité ou non d’un site marchand visité par les consommateurs.

Les Conditions Générales de Vente (souvent abrégées par le sigle CGV) livrent des renseignements, tels que le prix, la provenance du produit, la livraison, le numéro de téléphone, l’adresse postale de l’e-commerçant, etc.

Les mentions légales sont obligatoires sur un site de vente en ligne. Elles apparaissent souvent en bas d’une page internet.

Le « https:// » atteste de l’authentification de l’e-boutique du codage des données de son site web. Il doit strictement apparaître lors du paiement en ligne, tout en indiquant que la transaction est bel et bien sécurisée. La vérification de ce protocole permet à un e-consommateur d’éviter les actes frauduleux.

Contacter le service client et se renseigner sur la solution de transaction

La solution le plus simple consiste à appeler personnellement le service commercial pour s’assurer qu’une personne physique peut accompagner l’acquéreur avant, durant et surtout après la vente. Il est conseillé de s’abstenir s’il n’y a aucun numéro ou au moins une adresse mail affichée sur le site.

La confirmation du mode de paiement par un appel téléphonique est importante pour vérifier la solution de transaction employée par l’e-commerçant. Si la solution utilisée n’est pas claire, il est primordial de se rendre sur la page internet de la société pour vérifier son authenticité.

Pour sécuriser votre site et vos activités sur le web, offrez-vous l’accompagnement d’un spécialiste. Contactez Futur Digital.