PROJET AUTOBLOG


Pixellibre.net

Site original : Pixellibre.net

⇐ retour index

Mise à jour

Mise à jour de la base de données, veuillez patienter...

En Bref : Strava, ou un exemple simple du besoin de sensibilisation à la protection des données personnelles.

lundi 29 janvier 2018 à 13:30

Strava, vous connaissez ? Si vous faites du sport, de la course plus précisément, sans doute. Pour les autres : Strava est une application qui permet d’enregistrer son parcours en se servant du GPS du Smartphone sur lequel l’application est installée. L’entreprise propose une carte mondiale des trajets enregistrés… et on y retrouve des données plutôt sensibles.

Si, dans nos contrées, l’application ne nous apprend rien de particulier, dans des zones moins denses avec moins de parcours, c’est sensiblement différent. On apprend de Tobias Schneider   qu’il est possible de localiser des bases militaires et des sites sensibles, dessinés par les trajets enregistrés et publiés sur la « Global Heatmap » de Strava.

J’ai rapidement parcouru cette carte et à l’heure actuelle, on retrouve toujours des trajets qui semblent délimiter des zones d’activité humaine. On retrouve des trajets autour de Mossoul (en Irak), au Niger, en Syrie et à chaque fois, ils semblent correspondre à des rondes ou à des sites militaires.

Ces trajets étant précis, on peut délimiter des zones de faible passage, de passage moyen et de passage intense, puis en déduire les contours des bases militaires.

Strava image localisation 2
Des contours, en plein milieu de rien…

Ces deux images nous donnent un aperçu du problème rencontré. La première image est relativement claire et on devine une base, avec ou sans les trajets disponibles sur Strava. La seconde, en revanche, est perdue en plein milieu du désert, il n’y a absolument rien autour. Sans la carte des trajets, il est très compliqué voire impossible de deviner qu’il existe une activité humaine. Les trajets sont précis et semblent définir ce qui ressemble à une base (le jaune) et des contours, ou des rondes militaires (le chemin violet, donc le périmètre de sécurité).

Le problème peut vous sembler anodin mais il est en réalité dramatique. L’affichage de ces trajets peut donner des indications précises sur des bases stratégiques, des indications sur des bases tenues secrètes ou encore permettre à des attaquants de cibler aisément des lieux et d’effectuer une première reconnaissance très facilement.

Potentiellement, cela met en danger de nombreuses personnes, qu’elles utilisent ou non l’application. Elles se retrouvent exposées à un défaut créé par d’autres personnes. Défaut qui aurait pu être évité si ces mêmes personnes avaient refusé le partage de leurs données, Strava permettant l’usage en « mode privé », sans partage sur la carte globale.

Ce cas met en évidence un problème important : le manque de formation et de sensibilisation à la protection des données personnelles. La faute n’est pas imputable à l’entreprise éditrice, en soi, elle propose un mode « privé ».

La faute n’est pas entièrement imputable aux militaires, des personnes extérieures entrent et sortent des bases (diplomates, personnel de santé, …). Il suffit d’une seule personne pour exposer toutes les autres, ce qui est autant critique que compliqué à gérer.

On peut également s’interroger sur la mise à jour des données : est-il possible d’avoir un suivi en temps réel ? Est-ce que les données nouvelles remontent sur la carte immédiatement ? Si c’est le cas, le problème est d’autant plus grave car il devient possible de suivre des mouvements, des troupes, des patrouilles… et donc de planifier des actions au bon moment.

Bref, vous l’aurez compris, de nombreuses troupes, tous pays confondus, vont entendre parler de ce problème.

Un monde sans neutralité du net

mercredi 10 janvier 2018 à 11:18

Ce billet s’adresses à celleux qui se disent « La neutralité du net ? Rien à foutre. », ainsi qu’a celleux qui ne comprennent pas forcément, par manque de temps, de moyens ou de savoirs, les implications concrètes d’une absence de neutralité du net.

Je ne vais pas expliquer ce que c’est, d’autres le font très bien, ici, ici, ici, ici ou encore . Non, je vais simplement vous donner des projections sur ce que serait un monde sans neutralité du net.

Réfléchissez à un instant à votre connexion, à ce que vous ainsi que les personnes qui utilisent cette connexion font de cette connexion, de cet accès pour ainsi dire illimité.

En vrac :

Enfin, vous ferez des choses dans six mois, ou un an, qui n’existent pas à l’heure actuelle, parce que vous pouvez le faire. Vous irez jeter un œil à des sites qui n’existent pas encore, vous irez tester des applications qui n’existent pas encore, parce que vous pouvez le faire.

De la même façon qu’on ne parlait pas deWhatsApp ou de Snapchat il y a encore quelques années, vous découvrirez un nouveau réseau social ou une nouvelle application pour PC, tablette ou smartphone.

Ces choses, vous pouvez les réaliser car votre accès Internet n’est pas bridé. Nous pouvons faire plus ou moins toutes ces choses et cela nous semble parfaitement naturel, logique et évident, parce que notre accès Internet n’est pas bridé.

La Neutralité du Net, c’est ça. C’est cette chose tellement évidente, tellement logique, que vous n’y songez absolument pas. C’est ce confort qui semble naturel, confort dans lequel nous évoluons en permanence.

C’est ce qui fait que vous pouvez actuellement arriver sur mon site « normalement », aussi vite que sur d’autres sites, que vous pouvez me lire, sans pour autant devoir payer plus que votre connexion Internet.

Un monde sans neutralité, c’est un monde où l’ensemble de vos usages, ainsi que le confort d’utilisation de ces derniers, sont menacés par des politiques de restrictions ou des politiques commerciales différentes de celles qui existent actuellement.

Parce qu’une image est plus parlante qu’un long texte, un monde sans neutralité du net, potentiellement, c’est ça :

Et si ce n’est pas ça, comprenez « un monde où vos usages sont facturés, en plus de votre abonnement internet », ou pour faire encore plus clair « ce que vous faites aujourd’hui pour une trentaine d’euros en coûtera une centaine plus tard », alors cela sera votre confort d’utilisation.

L’option « Youtube » ne sera pas obligatoire, mais sans cette option, regarder des vidéos sera difficile, elles seront de mauvaise qualité et mettront du temps à charger.

Votre confort d’utilisation, c’est réellement tout ce qui vous semble normal : le fait qu’un site s’ouvre vite, qu’une vidéo sur Youtube se charge globalement aisément, toutes ces choses qui vous semblent naturelles quoi…

Vous pensez que c’est une fiction ? Voici une offre Internet, au Portugal, sans neutralité du net.

Alors, important ou pas ?

 

Les cartes bancaires sans contact et la confidentialité des données

jeudi 16 novembre 2017 à 14:40

Le paiement sans contact est une fonction disponible sur plus de 60% des cartes bancaires en circulation. Les données bancaires étant des éléments sensibles, elles doivent naturellement être protégées.

Est-ce vraiment le cas ?

Evolution du paiement sans contact

Cette fonctionnalité est apparue en France aux alentours de 2012. Depuis, elle n’a cessé de se développer. Selon le GIE Cartes bancaires, 44,9 millions de cartes bancaires sans contact étaient en circulation en septembre 2017, soit 68% du parc français.

données GIE Bancaire sur l'usage des cartes sans contact
(source : GIE Cartes Bancaires)

Dans son bilan 2016 (PDF, page 11), ce même GIE déclare que 605 millions de paiements ont été réalisés via du sans contact. Si ce chiffre semble énorme, l’évolution de ce dernier l’est encore plus : +158% de paiements par rapport à 2015, et la tendance ne faiblit pas.

Le paiement sans contact est fait pour des petites transactions, celles de « la vie quotidienne », le montant des échanges étant plafonné à maximum 30€ depuis octobre 2017.

Fonctionnement du paiement sans contact

Le principe est relativement simple, la personne détentrice d’une carte sans contact souhaite payer sa transaction (inférieure à 30€ donc), elle pose sa carte à quelques centimètres du terminal de paiement sans contact et « paf », c’est réglé.

Le paiement sans contact est basé sur la technologie NFC, ou Near Field Communication (communication en champ proche) via une puce et un circuit faisant office d’antenne, intégrés à la carte bancaire.

Le NFC est caractérisé par sa distance de communication, qui ne dépasse pas 10 cm avec du matériel conventionnel. Les fréquences utilisées par les cartes sans contact sont de l’ordre de la haute fréquence (13,56 MHz) et peuvent utiliser des protocoles de chiffrement et d’authentification. Le pass Navigo, les récents permis de conduire ou certains titres d’identité récents utilisent par exemple de la NFC.

Si la technique vous intéresse, je vous invite à lire en détail les normes ISO-14443A standard et la norme ISO 7816, partie 4.

Paiement sans contact et données personnelles

On va résumer simplement le problème : il n’y a pas de phase d’authentification ni de chiffrement total des données. En clair, cela signifie que des informations relativement sensibles se promènent, en clair, sur un morceau de plastique.

De nombreuses démonstrations existent çà et là, vous pouvez également trouver des applications pour mobile qui vous permettent de récupérer les informations non chiffrées (votre téléphone doit être compatible NFC pour réaliser l’opération).

exemple application lecture carte bancaire

Pour réaliser l’opération, avec du matériel conventionnel, il faut être maximum à quelques centimètres de la carte sans contact, ce qui limite fortement le potentiel d’attaque et interdit, de fait, une « industrialisation » de ces dernières.

Cependant, avec du matériel plus précis, plus puissant et plus onéreux, il est possible de récupérer les données de la carte jusqu’à 1,5 mètre et même plus avec du matériel spécifique et encore plus onéreux (il est question d’une portée d’environ 15 mètres avec ce genre de matériel). Un attaquant doté de ce type d’équipement peut récupérer une liste assez impressionnante de cartes, puisqu’elles sont de plus en plus présentes… problématique non ?

En 2012, le constat était plus alarmant qu’aujourd’hui, puisqu’il était possible de récupérer le nom du détenteur de la carte, son numéro de carte, sa date d’expiration, l’historique de ses transactions et les données de la bande magnétique de la carte bancaire.

En 2017… il est toujours possible de récupérer le numéro de la carte, la date d’expiration de cette dernière et, parfois, l’historique des transactions, mais nous y reviendrons.

Que dit la CNIL sur le sujet ?

J’ai demandé à la CNIL s’il fallait considérer le numéro de carte bancaire comme étant une donnée à caractère personnel, sans réponse pour le moment. J’éditerai cet article lorsque la réponse arrivera.

Si le numéro de carte bancaire est une donnée à caractère personnel, alors le fait qu’il soit disponible, et stocké en clair, me semble problématique, cela ne semble pas vraiment respecter la loi informatique et libertés.

En 2013, cette même CNIL a émis des recommandations à destination des organismes bancaires, en rappelant par exemple l’article 32 et l’article 38 de la loi informatique et libertés. Les porteurs de carte doivent, entre autres, être informés de la présence du sans contact et doivent pouvoir refuser cette technologie.

Les paiements sans contact sont appréciés des utilisateurs car ils sont simples, il suffit de passer sa carte sur le lecteur. Ils sont préférés aux paiements en liquide et certains vont même jusqu’à déclarer que « le liquide finira par disparaître dans quelques années ». Son usage massif fait que votre organisme bancaire vous connaît mieux, il peut maintenant voir les paiements qui lui échappaient avant, lorsque ces derniers étaient en liquide.

La CNIL s’est également alarmée, dès 2012, des données transmises en clair par les cartes en circulation à l’époque. Ainsi, il n’est plus possible de lire le nom du porteur de la carte, ni, normalement, de récupérer l’historique des transactions… ce dernier point étant discutable dans la mesure où, pas plus tard que la semaine dernière, j’ai pu le faire avec une carte émise en 2014.

Comme expliqué précédemment, il est encore possible aujourd’hui de récupérer le numéro de carte ainsi que la date d’expiration de cette dernière.

Dans le scénario d’une attaque ciblée contre un individu, obtenir son nom n’est pas compliqué. Le CVV – les trois chiffres indiqués au dos de la carte – peut être forcé, il n’existe que 1000 combinaisons possibles, allant de 000 à 999.

Si la CNIL a constaté des améliorations, elle n’est pas rassurée pour autant. En 2013, elle invitait les acteurs du secteur bancaire à mettre à niveau leurs mesures de sécurité pour garantir que les données bancaires ne puissent pas être collectées ni exploitées par des tiers.

Elle espère que ce secteur suivra les différentes recommandations émises [PDF, page 3], notamment par l’Observatoire de la Sécurité des Cartes de Paiement, quant à la protection et au chiffrement des échanges. Les premières recommandations datent de 2007 [PDF], mais malheureusement, dix ans après, très peu de choses ont été entreprises pour protéger efficacement les données bancaires présentes dans les cartes sans contact.

S’il existe des techniques pour restreindre voire empêcher la récupération des données bancaires via le sans contact, le résultat n’est toujours pas satisfaisant, le numéro de carte est toujours stocké en clair et lisible aisément, les solutions ne garantissent ni un niveau de protection adéquat, ni une protection permanente.

Une solution consiste à « enfermer » sa carte dans un étui qui bloque les fréquences utilisées par le NFC. Tant que la carte est dans son étui, pas de risques… mais pour payer, il faut bien sortir ladite carte, donc problème.

L’autre solution, plus « directe », consiste à trouer – physiquement – sa carte au bon endroit pour mettre le circuit de la carte hors service. Attention cependant, votre carte bancaire n’est généralement pas votre propriété, vous louez cette dernière à votre banque, il est normalement interdit de détériorer le bien de votre banque.

DCP ou pas DCP ?

J’en parlais précédemment : est-ce que le numéro de carte bancaire constitue à lui seul une donnée à caractère personnel, ou DCP ?

Cela semble un point de détail mais je pense que c’est assez important en réalité. Si c’est effectivement une DCP, alors le numéro de carte bancaire doit, au même titre que les autres DCP, bénéficier d’un niveau de protection adéquat, exigence qui n’est actuellement pas satisfaite.

Si vous avez la réponse, n’hésitez pas à me contacter ou à me donner quelques références.

Les « boites noires » de la loi renseignement semblent désormais fonctionnelles

mardi 14 novembre 2017 à 14:41

Plus de deux années après leur création dans la loi, les équipements permettant aux services de renseignement d’analyser de grands volumes de données semblent fonctionnels.

Lors d’un colloque organisé par l’université de Grenoble ce mardi 14 novembre, Francis Delon, le président de la Commission nationale de contrôle des techniques de renseignement – ou CNCTR – a déclaré que les « boites noires » étaient à présent opérationnelles, et ce depuis environ un mois.

Ces équipements, surnommés ainsi pendant les débats sur la loi renseignement, doivent permettre aux services de renseignement d’analyser de grands volumes de données afin de détecter toute trace d’une menace terroriste… et c’est tout ce qu’on sait, officiellement.

Le principe et son problème

Pour vous résumer les débats de l’époque, il était question de créer des algorithmes permettant de détecter les terroristes, le tout sans aller lire le contenu des échanges ou des communications, les algorithmes n’utilisant que les métadonnées et pas le contenu direct.

La CNCTR a donné son feu vert à la mise en place desdits algorithmes :

« Nous avons examiné le projet d’algorithme sur le plan juridique. Est-il adapté ? Remplit-il les critères de proportionnalité ? Mais aussi un contrôle technique.

Nous avons des ingénieurs, ce qui permet de le faire. »

A l’époque du projet de loi, en 2015, ces dispositions faisaient débat. Des associations protectrices des libertés individuelles et numériques, comme La Quadrature du Net, dénonçaient la mise en place d’un système de surveillance de masse et une absence de mécanismes de contrôles clairs et adaptés.

Problème n°1 : les métadonnées parlent plus que « la donnée ».

La loi sur le renseignement autorise l’exploitation des métadonnées, c’est-à-dire des informations qui gravitent autour de la donnée sans être de la donnée… exemple : dans un e-mail, l’heure d’envoi, l’expéditeur, le destinataire et tout ce qui n’est pas directement le contenu du mail sont des métadonnées.

Si la loi interdit d’analyser les données, le contenu du mail dans notre exemple, il n’en reste pas moins que ces boites noires posent un vrai problème de confidentialité, les métadonnées étant bien plus parlantes que les données.

En soi, sauf dans des cas de surveillance ciblée, le contenu n’intéresse que très peu les renseignements, ils souhaitent savoir qui communique avec qui, quand, où, comment, à quelle fréquence. Ils souhaitent savoir qui visite quoi, quelle adresse, à quelle heure, combien de fois, etc.

Prenons un exemple très concret, qui ne va utiliser que des métadonnées. Aujourd’hui, un individu a :

J’arrête l’exemple ici mais vous l’aurez compris, une journée entière serait bien trop longue. Les métadonnées sont très précises et, par croisement, elles permettent d’identifier une personne assez rapidement.

Ce qui nous amène au…

Problème n°2 : on ne sait pas comment ça fonctionne

Selon M. Delon, pour des « raisons évidentes », les algorithmes des boites sont secrets. On ne sait donc rien d’eux. On peut déjà s’interroger sur les raisons qui font que cet algorithme est secret. Si les critères de l’algorithme peuvent être sensibles, l’algorithme en soi n’a, normalement, rien de cela. Je trouve toujours étonnant que les gouvernements préfèrent la sécurité par l’obscurité à la transparence d’un code, mais passons…

On peut tout de même imaginer que ces derniers ne sont pas en mesure d’intercepter et de casser du trafic chiffré. On peut aussi imaginer que les jeux de données doivent être très larges, afin de permettre aux algorithmes d’avoir assez de matière pour faire le boulot.

On renverse donc un peu plus la logique de surveillance actuelle, en passant d’une surveillance ciblée pour obtenir des informations à l’obtention d’informations sur une population très large pour trouver des individus qui répondent à des critères précis. Autrement dit, on bascule davantage dans la surveillance de masse de tout le monde que dans la surveillance ciblée. Ce qui n’est pas sans poser de nombreux problèmes, comme l’ONU s’en inquiétait à l’époque.

Les algorithmes, ce n’est pas « automagique », des personnes ont travaillé sur ces choses, ont produit du code. Qui ? Comment ? On ne sait pas. On peut donc s’interroger quant à l’impartialité des algorithmes. Sur quels critères ces derniers déclarent que telle ou telle personne a un comportement étrange, voire suspect ? Est-ce que les algorithmes sont assez efficaces pour éviter tout faux positif ? Et même dans ce cas, est-ce que ces techniques ne seraient pas disproportionnées ? Combien de milliers de données passent dans les moulinettes des algorithmes alors qu’elles ne devraient rien y faire ?

La CNCTR déclare que, pour le moment, une seule machine a été déployée, dans un endroit tenu évidemment secret, comme le reste… mais est-ce un test ou une généralisation ?

Vous l’aurez compris, je suis sceptique quant à l’usage et l’efficacité de ces outils, et vous ?

Informatique et Libertés, RGPD, CIL et DPO, du pareil au même ?

lundi 6 novembre 2017 à 23:30

Continuons à présenter quelques détails relatifs au Règlement Général sur la Protection des Données. Aujourd’hui, nous allons parler des postes de CIL et de DPO. Le sujet est abordé suite à des choses trop fréquemment entendues, exemple : « le DPO c’est l’exact copie du CIL, mais pour le RGPD ».

Vrai ou faux ?

CIL, DPO, RGPD, c’est à dire ?

Il y a plus d’abréviations que de texte dans les premières lignes de ce billet, quelques définitions s’imposent.

RGPD, comme DPO, sont déjà présentés dans le précédent billet, CIL en revanche, vous ne connaissez peut-être pas.

Le CIL, ou Correspondant Informatique et Libertés, est le référent des questions relatives à la protection des données à caractère personnel (ou DCP).

Ses missions sont de garantir la conformité de l’organisme à la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, plus communément appelée loi Informatique et Libertés.

Cette loi sert de référence à tout ce qui touche, de près comme de loin, à la collecte, l’usage et la protection des données personnelles (collecte, analyse, traitement, définitions des collectes licites, modalités de collecte, sécurisation, anonymisation, etc.).

D’une certaine façon, le CIL est l’interlocuteur entre la CNIL et l’entreprise. Il est l’acteur incontournable entre le responsable de traitements de l’entreprise et l’autorité de contrôle.

Pour information, la loi Informatique et Libertés a évolué au fil du temps pour tenir compte de l’évolution des technologies et des nouveaux usages. Sa dernière modification remonte au 20 janvier 2017. La prochaine date à noter, pour ladite loi, sera le 25 mai 2018, moment à partir duquel le RGPD sera applicable.

Les points communs entre le CIL et le DPO

Le CIL et le DPO sont indirectement des représentants des réglementations, l’un pour Informatique et Libertés, l’autre pour le RGPD. Ils sont tous deux attachés à la protection des données personnelles et aux usages qui sont faits de ces dernières au sein des entreprises et administrations.

Les deux doivent être hors de tout conflit d’intérêt et ne peuvent donc pas exercer d’autres fonctions qui entreraient en conflit avec leurs rôles de CIL ou de DPO.

Ils doivent globalement être informés des traitements effectués sur les données personnelles et tenir des registres relatifs à ces derniers, même si les missions diffèrent sur ce point.

Le point numéro 3 de l’article 38 du RGPD confère au DPO le même type de protection que le CIL. Ainsi, le DPO « ne peut être relevé de ses fonctions ou pénalisé par le responsable de traitement ou le sous-traitant pour l’exercice de ses missions ». Il va de soi que si le DPO est complice d’activités illicites menées par le responsable de traitement, cela ne tient pas.

Enfin, l’article 39 (son point 1), confèrent au DPO des missions similaires à certaines du CIL : coopérer avec l’autorité de contrôle et faire office de point de contact pour l’autorité de contrôle.

Globalement, les similarités s’arrêtent là.

Les différences entre le CIL et le DPO

Les qualifications requises

En soi, il n’existe pas de réelles obligations de compétences dans le poste de CIL, même si la logique fait qu’on ne place pas n’importe qui à ce poste. Dans la loi Informatique et Libertés, tout au mieux, le CIL doit « avoir les compétences nécessaires pour exercer ses missions ».

L’article 37 du RGPD, et plus particulièrement son point 5, explique la chose suivante :
« Le délégué à la protection des données est désigné sur la base de ses qualités professionnelles et, en particulier, de ses connaissances spécialisées du droit et des pratiques en matière de protection des données, et de sa capacité à accomplir les missions visées à l’article 39 ».

Alors oui, cela peut sembler logique voire évident, mais c’est une différence assez importante. Cela signifie que si le CIL peut avoir le profil qui lui permet d’exercer ses missions, le DPO doit avoir les compétences nécessaires pour ses missions. Le considérant 97 du texte va dans ce sens également, considérant que vous pouvez retrouver ici (non référencé directement par la CNIL).

Obligation de formation continue

Le point 2 de l’article 38 explique que « le responsable du traitement et le sous-traitant aident le délégué à la protection des données à exercer les missions visées à l’article 39 en fournissant les ressources nécessaires pour exercer ces missions, ainsi que l’accès aux données à caractère personnel et aux opérations de traitement, et lui permettent d’entretenir ses connaissances spécialisées ».

Cette obligation de maintien des compétences dans le temps n’est pas présente dans la loi Informatique et Libertés, elle permet au DPO de pouvoir bénéficier de parcours de formation continue afin de maintenir ses compétences à jour.

Si les entreprises permettent aux CIL d’accéder à la formation, elles n’en ont pas l’obligation actuellement, ce qui ne sera plus vrai avec le DPO. Il faut y voir l’opportunité de maintenir un niveau d’expertise à jour,  plutôt qu’une contrainte de formation pour les entreprises.

Obligation de confidentialité

L’article 38, via son point 5, souligne le caractère de confidentialité des missions du DPO, qui est soumis au secret professionnel ou à une obligation de confidentialité. Il me semble évident que les missions du CIL sont, elles aussi, sensibles et confidentielles… mais il n’existe pas d’obligation de confidentialité dans la loi Informatique et Libertés.

L’article 39 du règlement confère des missions étendues au DPO, dont celles de la répartition des responsabilités ainsi que la formation et la sensibilisation du personnel qui participe aux opérations de traitement.

Obligation de nommer un DPO

Si le poste de CIL n’est pas une obligation, il reste fortement recommandé pour de nombreuses entreprises. Il permet, au passage, de « s’affranchir » d’un certain nombre de déclarations auprès de l’autorité de contrôle.

Dans certains cas, la nomination d’un DPO est obligatoire. L’article 37 précise les cas où la nomination d’un DPO est nécessaire :

Par exemple, les banques, les opérateurs téléphoniques ou les grosses agences publicitaires sont, selon le règlement, dans l’obligation de nommer un DPO, là où cette nomination n’est pas obligatoire avec le CIL.

Revenons à la question de ce billet : est-ce que le CIL et le DPO font le même métier et ont les mêmes obligations ? La réponse est manifestement non.

S’il existe forcément des points communs aux deux postes, ils diffèrent, tant dans les missions que dans les obligations relatives au poste. L’évolution « logique » du CIL est effectivement le poste de DPO, mais cela ne signifie pas pour autant que c’est le même poste, le même périmètre d’intervention, ni même qu’une personne au poste de CIL passera obligatoirement DPO.

J’espère, avec ce billet, que vous aurez compris que non, avoir un CIL, ce n’est pas la même chose qu’avoir un DPO et que cela ne signifie pas « être conforme ».