Forum eedomus • Protection de la vie privée / CNIL • Box eedomus

Forum eedomus http://forum.eedomus.fr/

Protection de la vie privée / CNIL http://forum.eedomus.fr/viewtopic.php?f=14&t=733	Page 1 sur 1

Auteur:	lp59 [ 20 Nov 2012 18:35 ]
Sujet du message:	Protection de la vie privée / CNIL
Bonsoir à tous. Cette box semble avoir de sérieux atouts, mais se pose l'éternelle question du respect de la vie privée, plus particulièrement du fait de l'architecture retenue (client/serveur). Aussi, l'équipe eedomus ou certains membres du site peuvent-ils me renseigner : les employés Eedomus peuvent-ils accéder au paramétrage et/ou au pilotage du boîtier présent dans les domiciles des clients ? en cas de compromission du serveur, le pirate potentiel peut-il récupérer les données personnelles et au piloter la maison ? (pour ouvrir le portail, la porte de garage...) l'accès mobile utilise-il un tunnel chiffré pour accéder au serveur ? une validation de la CNIL a-t-elle été demandée pour la remontée d'images en provenance des caméras ip, ou plus généralement sur la solution globale ? hormis le paramétrage, en cas de coupure internet, quelles sont les fonctionnalités inopérantes ? Merci d'avance.

Auteur:	support_eedomus [ 20 Nov 2012 19:37 ]
Sujet du message:	Re: Protection de la vie privée / CNIL
Bonjour, Nous attachons une grande importance à ce sujet, en terme de déontologie et de moyens techniques, qui est détaillée ici : http://doc.eedomus.com/view ... rsonnelles Le support accède au paramétrage si l'option "Accès au support" est coché. Le support accède à une copie de l'interface sans les images. La communication (et l'accès web) avec la plate-forme serveur est en HTTPS. Nous sommes particulièrement vigilants sur la sécurité de la plate-forme serveur. A savoir : le domicile privé du citoyen est explicitement hors du champ de compétence de la CNIL. Pour un usage en entreprise, suivant les données utilisées (RFID, caméras, présence, traceur GPS) et l'usage fait (la finalité), le responsable doit réaliser les déclarations ad hoc (CNIL, et Préfecture pour les lieux publics). Un point important : sur la boutique en ligne, le paiement est réalisé par renvoi sur le site BNP Paribas ou Paypal sans que nous ne stockions les données de paiement. Le fonctionnement dépend des serveurs, mais est tolérant aux coupures. En cas de coupure, il n'est pas possible d'ajouter un nouveau périphérique par exemple. D'autres points importants sont sur le lien ci-dessus sur le sujet Données personnelles. Voilà en résumé ! Cordialement

Auteur:

Chacks [ 20 Nov 2012 19:40 ]

Sujet du message:

Re: Protection de la vie privée / CNIL

Bonjour,

je vais répondre à une partie de tes questions.

les employés Eedomus peuvent-ils accéder au paramétrage et/ou au pilotage du boîtier présent dans les domiciles des clients ?

--> Dans le paramètrage de la box (Configuration/Mon compte/Paramètres), il est possible d'autoriser ou non le support à accéder à notre box (à des fin de débuggage)

une validation de la CNIL a-t-elle été demandée pour la remontée d'images en provenance des caméras ip, ou plus généralement sur la solution globale ?

--> Dans le cas des images, les serveurs eedomus ne font que les stocker, chaque utilisateur est responsable des images qu'il prend avec ses caméras. Il est donc très vivement déconseillé de prendre des images du domaine public ou du domaine privée qui ne vous appartient pas sinon une demande à la CNIL devra être faite.

hormis le paramétrage, en cas de coupure internet, quelles sont les fonctionnalités inopérantes ?

--> La box fonctionnera normalement même sans internet. Il ne sera plus possible de modifier le paramétrage ni d'utiliser l'API car elle passe par les serveurs eedomus donc connexion internet nécessaire.

@+ et j'espère à bientôt dans la communauté eedomus

Auteur:	Chacks [ 20 Nov 2012 19:41 ]
Sujet du message:	Re: Protection de la vie privée / CNIL
Mince, grillé par le support lol

Auteur:	support_eedomus [ 20 Nov 2012 19:43 ]
Sujet du message:	Re: Protection de la vie privée / CNIL
@Chacks Mince, grillé par le support lol Désolé, merci pour votre message !

Auteur:	lp59 [ 20 Nov 2012 22:09 ]
Sujet du message:	Re: Protection de la vie privée / CNIL
Merci pour la rapidité et la précision de vos réponses ! Juste 2 précisions : - pour la CNIL, malgré la notion de domicile privé, la société eedomus dispose d'une fichier de données personnelles parfois sensibles (identité, adresse, présence ou absence des propriétaires, photos du domicile, consommation électrique, etc), donc nécessité de déclarer d'après moi. Le mieux serait d'interroger un CIL ou la CNIL directement. - je m'interroge surtout sur cet aspect et le risque que vous fassiez un jour l'objet d'une attaque d'un "hacker-voleur" ou d'un réseau plus structuré. Malgré la taille de certaines grosses boites (So.y, Am.z.n, F.c.b..k) et le budget sécurité qui va bien en face, il ne faut parfois pas longtemps à ces réseaux parallèles pour trouver la faille d'un système qui les intéresse. Il faudrait que vous trouviez des pistes pour pallier à une compromission du serveur. Par exemple, votre serveur peut-il encaisser les tentatives de connexion via mot de passe "en brut force" ? Si l'intrus utilise une faille de sécurité connue ou pas, s'introduit sur le serveur, peut-il récupérer les hash de tous les passwd (et par déduction, si les tailles de passwd sont petites, trouver des password ayant les même hash...)? Une fois introduit, peut-il se faire passer pour le support et donc, s'il a les habilitations, configurer et piloter les box des clients ? Peut-être une première piste serait par exemple d'envoyer un SMS au client à chaque évènement important (numéro stocké sur une autre base de données si possible...) ? ou de n'autoriser le pilotage des équipements qu'à partir du réseau interne du client ? Ce qui pourrait être assez rassurant pour vos clients, ce serait que vous cherchiez à obtenir les certifications ISO 27000 (audits réguliers de sécurité, PSSI, EBIOS, etc) Je vous renvoie au site de l'ANSSI qui fournit multiples informations sur ce sujet. Le parano du jour...

Auteur:

support_eedomus [ 26 Nov 2012 13:14 ]

Sujet du message:

Re: Protection de la vie privée / CNIL

Bonjour,

Merci pour votre message. Une précision sur le point suivant qui n'est pas tout à fait exact :

la société eedomus dispose d'une fichier de données personnelles parfois sensibles (identité, adresse, présence ou absence des propriétaires, ...

Il s'agit de deux informations disjointes sur deux outils différents :

Ne pas mélanger les deux informations (adresse/presence) fait partie des protections contre les attaques. Rien n'oblige à utiliser la même identité sur les deux outils, d'ailleurs les inscriptions sont indépendantes, un simple mail suffit pour "secure".

Cela dit, dans la balances des gains et des risques, nous pensons que disposer de caméras à son domicile (qui envoient les images sur une plate-forme sécurisée), pouvoir le surveiller en permanence et simuler la présence est un outil de nature à réduire le risque d'intrusion plutôt que le contraire.

Nous vous remercions de vos autres suggestions sur le sujet sécurité.

Un dernier point sur les images, dans le document :
http://www.cnil.fr/fileadmin/documents/approfondir/dossier/VideosurveillanceCNIL_video_chez_soi.pdf
la CNIL clarifie ce point pour les caméras :

Un particulier peut installer des caméras à son domicile pour en assurer la sécurité. Ces dispositifs ne sont pas soumis aux dispositions de la loi « Informatique et Libertés » ni à celles du code de la sécurité intérieure

Concernant le site général, nous avons déjà déposé une déclaration CNIL.

Cordialement

Auteur:	lp59 [ 26 Nov 2012 23:07 ]
Sujet du message:	Re: Protection de la vie privée / CNIL
Merci pour ces précisions. C'est rassurant de voir que cette problématique est importante à vos yeux, je vous encourage à continuer la "veille". D'ailleurs, si vous vous engagez à faire les démarches (qualités) pour obtenir la certif ISO 27005, je vous prends un boitier !

Page 1 sur 1	Le fuseau horaire est UTC+1 heure
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/