Les votes s’enchaînent au Sénat. Dans le cadre du projet de loi sur le numérique, un article adopté veut obliger les acteurs, notamment en ligne, à stocker les données personnelles des Français en Europe, du moins s'ils veulent effectuer sur leur dos des traitements automatisés. Une disposition qui interdit également tout transfert hors UE.
La disposition en cause est simple, mais explosive voire délirante. Elle impose à tous les acteurs, qu’ils soient du numérique ou non, de stocker sur des serveurs installés en Europe les traitements de données personnelles concernant les Français. Une obligation assez chimique puisqu’il n’est pas toujours évident de déceler la nationalité d’une donnée personnelle… De plus comment imposer une telle règle à l'ensemble des sites de la planète ?
Juridiquement, elle enrichit d’un petit complément la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Il concerne la section 1 de cette loi, relative aux dispositions générales des traitements de données à caractère personnel. En substance, voilà sa rédaction adoptée par les sénateurs :
« Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : [ces données] sont stockées dans un centre de données situé sur le territoire de l’un des États membres de l’Union européenne, et, sans préjudice des engagements internationaux de la France et de l’Union européenne, ne peuvent faire l’objet d’aucun transfert vers un État tiers. »
Une obligation impossible à mettre en oeuvre
Pour les sénateurs du Groupe communiste républicain et citoyen, « Il s’agit (…) de s’assurer ainsi de l’applicabilité des dispositions législatives prises au niveau européen, en matière de protection des données personnelles. L’annulation du Safe Harbor par la Cour de Justice de l’Union européenne rend d’autant plus critique cette disposition. »
L’annulation du Safe Harbor a théoriquement fermé le robinet principal du transfert des données de l’Europe vers les États-Unis compte tenu du manque de garanties et de l’appétit des services de la NSA. Seul hic, le Privacy Shield, son remplaçant, a lui fait lui aussi objet de critiques venues des autorités de contrôle européennes réunies au sein du G29.
Les critiques du Gouvernement inaudibles
Le vote de cet article à une belle majorité n’a fait que peu de cas des remarques d’Axelle Lemaire. La secrétaire d’État au numérique a vainement estimé que cette disposition n’était « pas souhaitable », expliquant en outre que la problématique première est celle de la sécurisation des flux vers les États-Unis et les autres États tiers à l’Europe. En outre, ce sujet devrait avant tout être débattu dans le cadre des négociations européennes.
En appui de cette obligation de centralisation, l’article interdit en plus le transfert de n'importe quelle donnée personnelle vers un État tiers. Soit l'installation d'une frontière numérique dans le périmètre de toute l'Europe. Naturellement, peu de chance que l’article soit maintenu dans le texte définitif.
Commentaires (45)
ils sont trop forts…
Quelqu’un leur a dit que c’etait pas des dossiers papiers dont on parle ?
“Une obligation assez chimique”
Je n’ai pas appris la nature chimique des obligations, dans mes études de chimie.
Autrement je ne comprends pas la position de Marc : ca me semble plutôt aller dans le bon sens. on impose beaucoup, pour au final retirer un peu après negociaitions…
Bref les entreprises (au moins les grosses) vont installer des datacenters en Europe, ou louer de l’espace de stockage enEurope….
Tu es mexicain
Tu as un site.
Un Français s’y inscrit.
Il y a donc un traitement sur des données personnelles.
Tu es donc en infraction faute de serveur de stockage en Europe.
C’est déjà le cas en Russie, “normalement” on ne peut stocker des données sur des utilisateurs que si l’on héberge ses serveurs en en Russie. Dans la pratique par contre… c’est rarement le cas.
Si le francais en question est localise en Europe.
Le delire est surtout dans l’interdiction de tous les transferts hors UE. Meme en Russie, tu peux avoir des transferts vers l’exterieur.
C’est déjà define ça.
Je suis curieux de connaître la définition juridique de “traitement automatique”
Toute donnée qui transite par le firewall d’Open Office
Et ils compte le vérifier par quel moyen??
Comme pour beaucoup de loi : si le délie est constaté -> jugement -> peine.
" />
Ce n’est pas parce qu’il y a une loi contre le meurtre qu’on a tous une sonde dans le cul pour nous empêcher de le faire
Ca vise déjà les plus gros comme Facebook, Google, Amazon etc. Il est sûr et certains qu’ils font du traitement automatisé.
Why not.
Vérification sur déclaratif et par contrôle aléatoire ou dénonciation … au pire.
La Russie l’a bien imposé pour pas mal de données et toutes les grandes entreprises étrangères travaillant en Russie se mettent au diapason …. ça fait des projets migration : applications logicielles, données etc …
Il sera difficile de mettre un flic derrière chaque site web, mais pour les gros CA … ça me semble bien faisable.
Le plus important n’est pas tant un (petit) siteweb comme PCi, que ceux des entreprises qui génèrent un gros chiffre et … des impôts.
Cette mesure n’a que fiche des petits poissons.
D’ailleurs, c’est déjà le cas en partie.
Après tout, Facebook héberge les données des utilisateurs français dans un datacenter d’Aubervilliers.
En sus … laisser les données en France réduira la balance de compensation entre les opérateurs télécoms en faveur des français. Pour le moment, c’est disproportionnément les US qui sont vainqueurs car les data sont chez eux et viennent chez nous.
Trop difficile à comprendre !
Ce sont justement ces entreprises qui ont intérêt à être bien perçues qui sont visées par cette loi
" />
Celles pour lesquelles la France représente un CA significatif et qui, paradoxalement, sont facilement contrôlables car aisément repérable … donc surveillées.
Forcément, leur nombre se compte sur les deux mains et les deux pieds … mais l’argent “rapatrié” à lui tout seul avec ce petit nombre justifie que la loi s’applique à toutes celles qui n’auront même pas remarqué la présence d’un filet à papillon et continueront leur vie tranquille.
Beaucoup se méprennent sur le sens du “traitement automatisé”.
Il ne faut pas comprendre qu’il s’agit d’analyse ou manipulation des données, via des algo fumeux ou des moulinettes endiablées dont le déclenchement est fait de façon programmée, il faut simplement comprendre qu’il s’agit de “systématisation” : toute ip qui passe par chez moi est inscrite dans un log, tout formulaire rempli par un visiteur est stocké en base de données, toute enquête de satisfaction papier à l’issue d’une formation est archivée… C’est ça, le “traitement automatisé”, et il ne faut donc pas se leurrer en pensant qu’il existe des données qui y échappent puisque du moment qu’elles sont stockées elles sont concernées.
Cf un peu plus haut, il faut comprendre que la donnée est systématiquement (“automatique” induisant en erreur mais permettant un champ d’application plus large). Son archivage, même si elle n’est pas lue et ne le sera peut-être jamais, est considéré comme du traitement automatisé.
La notion de traitement automatisé de données personnelle est tout sauf floue. Le traitement consiste en presque n’importe quelle utilisation des données, et la notion d’automatisation incorpore presque tout les comportements informatiques. En gros tout ce que tu fais entre le stockage et la publication de listes de résultats sur un moteur de recherche consiste en un traitement automatisé.
En plus la notion de donnée personnelle est très large afin d’offrir une bonne protection aux personnes.
La limitation en question est donc très étendue tant pour ceux qu’elle va toucher que les contraintes qu’elle va provoquer.
ben ils vont se gêner !!!!! mdrrrrrrrrrrrrrrrrrrr
Historiquement cela concerne tous les traitements informatiques. Mais tu peux noter tout ce que tu veux manuellement dans des carnets sans déclarer à la CNIL
Cloud Money restera un européen-français, na !
" />
" />
Je trouve pas non plus que cette idée soit totalement déconnante.
Ça mériterait sûrement quelques ajustements pour ne pas viser le moindre site, mais bien ceux visés par l’esprit de la loi : les GAFA
Mais sur le principe, pour essayer d’empêcher la NSA et consorts de mettre leur nez dans nos données (et de les utiliser à des fins d’espionnage économique,entre autres), c’est pas si bête.
Après, faut pas se voiler la face, à la place, ça sera les services secrets du pays hébergeant le datacenter.
Je me connecte à un service Google, ça passe forcément par les serveurs US,
" />
c’est donc illégal selon eux ?
Aujourd’hui Google rends hommage aux Shadocks
Les senateurs aussi !
Vu l’âge moyen des sénateurs c’est pas étonnant les textes qu’ils votent. Ils doivent être déjà trop vieux pour biter quelque choses au minitel alors internet c’est beaucoup trop pour eux…
On ferais bien de supprimer cette chambre de vieux con qui s’agrippent à leur place (ou alors interdire les sénateurs au dessus de 60 ans).
Exactement!
Les entreprises étudieront le rapport de force, ce que la justice française peut atteindre et quel sera l’impact en terme de bad buzz d’une amende qu’elles ne paieront pas avant de décider que c’est économiquement mieux de conserver leurs serveurs ailleurs dans la plupart des cas.
Après libre à toi de considérer qu’une censure à la chinoise d’internet est une politique judicieuse.
Une vidéo, une bande son, des données sont des infos faciles à trafiquer pour faire dire les vérités ou les mensonges que l’ on souhaite sur tout un chacun.
Ce que j’ ai déjà personnellement réalisé ….
Pouvoir sanctionner ceux qui travestissent les données ne peut par conséquent se réaliser qu’ au cas où l’ hébergeur est localisable et pénalisable juridiquement sur le territoire.
Je ne veux pas faire peur mais il faut être bien conscient qu’ à partir du moment où on ne peut maitriser le détenteur et la source de nos données tout peut vous arriver sans que vous puissiez rien et penser que ce n’ est pas possible c’ est être niais.
Ce n’ est pas Snowden ou un autre lanceur d’ alerte qui pourra vous rassurer.
L’ idée sénatoriale me semble donc correspondre aux obligations de responsabilité dont ils ont la charge en tant que représentant du peuple français concernant notre sécurité à cet égard.
Et pour une fois que ces gens grassement payés font leur boulot, je vais pas me plaindre.
Après cela que la loi soit facilement applicable ou non est une autre chanson mais je ne vois pas pourquoi des sites pourraient accumuler des données sur ma personne sans que les représentants de mon pays ne puissent directement sanctionner l’ usage qui en est fait.
C’ est un contre sens vu que les données sont le nouveau pétrole du monde et je ne vois pas pourquoi on en priverait nos propres entreprises au détriment d’ entreprises étrangères.
il me semble que Google a déjà des data center en europe ;)
Il en ont, certes.
mais tout n’est pas en Europe.
logiquement, ils tombent sous le coup de cette obligation.
rg54 a écrit :
Après, faut pas se voiler la face, à la place, ça sera les services secrets du pays hébergeant le data-center …..
…et, qui s’emprésseront de les REVENDRE aux USA !
(un p’tit service à demander à la NSA) ?