« Alerte attentat » : après l’application, voilà le traitement de données personnelles SAIP
Sans publication de l'avis de la Cnil
Le 29 août 2018 à 09h25
5 min
Droit
Droit
Au Journal officiel, l’Intérieur a publié un arrêté pour autoriser la création d’un traitement automatisé d’alerte des populations. Ce système préfigure l’arrivée d’un nouveau SAIP, abandonné en mai dernier. Contactée, la Cnil refuse de nous communiquer son avis motivé, qui n'a pas été publié malgré une obligation légale.
Lancée à l’occasion de l’Euro 2016, l’application SAIP (système d’alerte et d’information des populations) a finalement été délaissée deux ans plus tard par l’exécutif.
L’oraison funèbre a été nourrie en août 2017 par un rapport au Sénat qui jugeait cette app « imparfaite », avec des « bugs résiduels », issue d’un produit conçu « dans l’urgence » avec « des défaillances persistantes ». L’auteur du rapport, le sénateur Jean-Pierre Vogel, critiquait surtout la doctrine d’emploi, s’agissant d’alertes pas toujours déclenchées par les autorités.
À la place, l’exécutif a finalement prévu de privilégier les réseaux sociaux, en particulier Google, Facebook et Twitter. Sur ce dernier, le compte @Beauvau_Alerte a été calibré pour informer quiconque « d'un événement majeur de sécurité publique ou civile survenant en France ».
De même, a été envisagée la possibilité d’utiliser le Safety Check de Facebook, suite à un partenariat technologique. Sur Google, un bandeau d’alerte est censé mettre en avant les contenus diffusés par les autorités. Un système similaire doit être programmé sur France Télévisions, Radio France, la RATP et Vinci Autoroute, histoire d’informer les non-internautes. (le communiqué du ministère).
SAIP v2, en cas d'événements graves, imminents ou en cours de réalisation
Ce matin, au Journal officiel, un arrêté vient créer « un traitement de données à caractère personnel relatif au système d'alerte et d'information des populations ». Il laisse donc présager le déploiement effectif du nouveau système d’alerte.
Concrètement, il autorise le ministère de l’Intérieur et plus précisément la direction générale de la sécurité civile et de la gestion des crises, à mettre en œuvre un traitement dont la finalité est « de permettre la diffusion des mesures d'alerte et d'information à destination de la population, à la demande d'une autorité de police administrative, en cas d'événements graves, imminents ou en cours de réalisation, susceptibles de porter atteinte à l'intégrité physique des personnes ».
Le texte a été publié sur le fondement de l’article 26 de la loi de 1978 sur l’informatique et les libertés. Celui-ci autorise en effet ces traitements de données personnelles mis en œuvre pour le compte de l’État et qui intéressent la sûreté, la défense ou, comme ici, la sécurité publique.
Deux traitements de données personnelles, un large accès
Peu bavard sur le mode opératoire, le texte signé Gérard Collomb permet l’enregistrement des données des agents habilités à accéder aux données et informations du traitement (nom, prénom, qualité, adresse, etc.) Un deuxième fichier s’intéresse cette fois aux destinataires de ces mêmes flux, que ce soit des personnes physiques ou morales (nom, prénom, adresse).
Plusieurs entités se voient reconnaître un droit d’accès à ces informations : le premier ministre, le ministre de l'Intérieur, les préfets, les maires, des agents de la direction de la sécurité civile et de la gestion des crises, mais encore les agents des services d'incendie et de secours dans leur zone de compétence. L’arrêté prévoit classiquement une traçabilité dans chacune des opérations, que ce soit pour la création, la consultation, la mise à jour et les suppressions éventuelles.
La Cnil refuse de communiquer son avis, à la publication obligatoire
Quelles seront exactement les modalités du système SAIP v.2 ? L’article 26 de la loi Informatique et libertés exige un avis motivé de la Commission nationale de l’informatique et des libertés. Parce qu’il est motivé, cet avis est nécessairement beaucoup plus détaillé que l’arrêté. Mieux, le même article demande à ce que l’avis de la Cnil soit publié en en même temps que l’arrêté, sans autre alternative, comme on peut le voir dans cette capture :
Problème, on a beau fouiller le Journal officiel ou Legifrance, cette précieuse publication concomitante n’a pas eu lieu.
Contactée, la Cnil nous indique que la décision de publication est dans les mains des services du gouvernement. Elle interviendra dans les jours à venir, suite visiblement à un petit décalage calendaire. Il a cependant été fait interdiction à notre interlocuteur non seulement de nous transmettre l’avis, mais également de nous faire part d’une quelconque manière que ce soit de son contenu.
Cette politesse de l’autorité indépendante pour l’exécutif est aussi inexplicable qu’illicite puisqu’elle va à l’encontre d’une disposition législative de rang supérieur.
« Alerte attentat » : après l’application, voilà le traitement de données personnelles SAIP
-
SAIP v2, en cas d'événements graves, imminents ou en cours de réalisation
-
Deux traitements de données personnelles, un large accès
-
La Cnil refuse de communiquer son avis, à la publication obligatoire
Commentaires (52)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 29/08/2018 à 09h49
C’est moi ou la CNIL se barre en cacahuète ?
Le 29/08/2018 à 09h50
Ou ils ont reçu la consigne de rien divulguer.
Le 29/08/2018 à 09h53
Oui j’ai lu, sauf que la CNIL est une autorité indépendante qui assumait encore son rôle il y a peu, même contre des décisions gouvernementales…
Le 29/08/2018 à 09h54
" />
Le 29/08/2018 à 09h58
C’est reparti: appli, comptes , réseaux sociaux
Pas mal de gens n’ont pas de comptes , pas de facebook , pas de twitters ,
Par contre en principe ils reçoivent tous des SMS
ça me gave
Le 29/08/2018 à 10h26
C’est le prestataire qui va bien se gaver pour une appli jeter au chiottes dans quelques années." />
Le 29/08/2018 à 10h38
J’ai pas bien compris : on parle des données de qui en provenance d’où ?
Le 29/08/2018 à 10h43
Vous devez avoir toutes les coordonnées des personnes à contacter à la CADA pour remédier à ça j’imagine " />
Le 29/08/2018 à 10h44
Typique de l’informatique gouvernementale française et ça coûte un pognon de dingue !
Le 29/08/2018 à 10h46
Si j’ai compris, entre les différentes administration de l’état pour le traitements de données personnelles (mais pas sûr a 100%).
Le 29/08/2018 à 11h52
SAIP, c’est sur, c’est un gros échec.
Petite question : il me semblait avoir lu qu’un protocole de communication d’urgence était implémenté dans la techno SMS. Quelqu’un en sait plus? Car si cela existe, je ne comprend pas l’utilité d”avoir développé SAIP.
Le 29/08/2018 à 12h00
Il me semble avoir vu un rapport d’une commission sénatoriale réalisée il y a une quelques années dans lequel les FAI disaient que le coût d’implémentation de la fonctionnalité était trop élevé.
Le 29/08/2018 à 12h04
Pas en France, l’infrastructure n’existe pas chez nos Fai si me souviens biens.
Le 29/08/2018 à 12h17
Pour plus d’infos :
WikipediaQui fait partie de :
WikipediaTout ceci c’est que l’état ne veut pas forcer les opérateurs à mettre en place la solution à leur frais.
Et si c’est l’état qui paye, ça sera pour chacun des opérateurs…
Edit : Comme tout bon projet, on va se rendre compte qui si on avait fait correctement dès le début, ça aurait coûté bien moins cher.
Le 29/08/2018 à 12h30
En complément, il existe un article Wikipédia anglais, peu sourcé, qui parle d’un EU-Alert basé sur le WEA/CMAS :
WikipediaIl parle aussi d’un FR-Alert.
Le 29/08/2018 à 12h56
Le gouvernement va toujours plus loin pour ridiculiser la “French Tech”: pognon de dingue pour zéro résultat " />
Le 29/08/2018 à 09h37
Je pressens un nouveau recours CADA si la situation ne s’améliore pas ! " />
" />
Le 29/08/2018 à 09h48
Donc, Un pognon de dingue va encore être dilapidé pour un résultat qui risque d’être comique comme le précédent." />" />
Le 29/08/2018 à 13h03
“Il a cependant été fait interdiction à notre interlocuteur non seulement de nous transmettre l’avis, mais également de nous faire part d’une quelconque manière que ce soit de son contenu.
Cette politesse de l’autorité indépendante pour l’exécutif est aussi inexplicable qu’illicite puisqu’elle va à l’encontre d’une disposition législative de rang supérieur.”
Non mais même pour des choses aussi anecdotiques (l’avis favorable ou non, long ou petit de la CNIL n’intéressera personne) ils ne s’estiment pas dans l’obligation de respecter la Loi et donnent en plus l’instruction à la CNIL de s’écraser ?!? (démontrant là encore la portée du terme “indépendant” dans AAI…).
Ils en ont pas soupé de telles pratiques et alors même que les scandales s’accumulent, chaque jour nouveau chassant l’affaire de la veille ?
Le 29/08/2018 à 13h04
C’est le point le plus important!!
Le 29/08/2018 à 13h08
Le 29/08/2018 à 13h11
Le 29/08/2018 à 13h13
Le 29/08/2018 à 13h27
Oui ca s’appelle le CellBroadCast et c’est implémenté depuis la 2G!
Le 29/08/2018 à 14h12
WTF!
Merci, c’est bien ça que j’avais lu, du coup, une petite recherche : ça fait 10 ans que c’est utilisé au Japon :
https://www.freenews.fr/freenews-edition-nationale-299/free-mobile-170/lunion-eu…
“Nul besoin de disposer d’un smartphone récent pour en bénéficier : ce
protocole, déployé au Japon depuis plus de 10 ans, a l’avantage de
fonctionner sur la quasi-totalité les mobiles du marché. Ainsi, les
personnes âgées armées d’un simple dumbphone, ou les voyageurs de
passage ayant désactivé leur connexion Internet, ne sont pas oubliés.”
C’est trop simple, pas assez cher (on peut pas arroser les entreprises des potes ou de la famille), et sur un dossier de carrière, c’est vachement moins bien que de dire : j’ai rédigé un cahier des charges, piloté un appel d’offre, …
Le 29/08/2018 à 14h14
C’est exact " /> mais le lien de la news pointe la ou ça demande de s’inscrire et d’activer les notifications
Perso je ne suis inscrit nulle part et je ne m’inscrirai nulle part.
Twitter
Le 29/08/2018 à 14h24
Peu bavard sur le mode opératoire, le texte signé Gérard Collomb permet l’enregistrement des données des agents habilités à accéder aux données et informations du traitement (nom, prénom, qualité, adresse, etc.) Un deuxième fichier s’intéresse cette fois aux destinataires de ces mêmes flux, que ce soit des personnes physiques ou morales (nom, prénom, adresse).
si je comprend bien, les données personnelles en question sont donc celles des agents, pas celles du péquin moyen.
et les destinataires… à priori ils vont pas lister tous les français, je vois pas trop l’intérêt.
j’avoue que je suis un peu circonspect…
Le 29/08/2018 à 14h30
Faut dire que si les agents en question font partie du bureau des légendes , ce n’est pas simple
" />
Le 29/08/2018 à 14h32
Et au final quand on additionnera le budget de toute ces solutions foireuses, on verrat que sa aurait payé largement le SMSBroadcasting….
Le 29/08/2018 à 14h35
Le 29/08/2018 à 14h35
Je vois que je suis pas le seul pour qui ce n’est pas clair…
Au début je pensais aux données que l’appli SAIP avait collecté sur les utilisateurs et qui vont être partagées avec les instances administratives.
Mais après, si c’est comme tu dis, ça concerne les données prises chez les réseaux sociaux à propos de leur utilisateurs (pour savoir par exemple qui est où et savoir à qui envoyer une notif et aussi savoir qui se trouve dans les manifs anti-macron mais chut)…
Du coup c’est pas plus clair^^’
(et la page sur Legifrance n’est pas plus claire non plus)
Le 29/08/2018 à 14h42
Sauf que la différence c’est que là on parle d’un budget public et de l’autre côté d’un budget privé (les FAI).
A moins, comme dit par quelqu’un d’autre sur ce fil, que ce soit l’Etat qui finance l’investissement pour les FAI… Donc x4.
Bref, pas vraiment de solution miracle pour compenser quelque chose qui n’a jamais été mis en place. La France n’en a jamais eu besoin car ce n’est pas un pays à risque (sismique, etc) contrairement aux autres pays comparés. La fréquence des attaques terroristes qui a augmenté est un phénomène beaucoup trop récent.
Le 29/08/2018 à 14h48
Risque nucléaire tout de même et inondations.
Le 29/08/2018 à 14h53
Je parlais de l’état qui finance l’investissement.
Sinon quand l’état a fait cadeau du renouvellement des licences pour couvrir les zones blanches, il aurait put glisser le CellBrodcast dedans. De toute façons on le demandera pas non plus pour la 5G donc on restera sur des solutions bancal encore un bon moment.
Le 29/08/2018 à 14h55
Ce sont des risques oui, mais il faut croire que ça n’a jamais été estimé comme nécessitant une infrastructure d’alerte similaire aux pays à l’activité sismique élevée, typhons, etc.
En France on a des sirènes un peu partout comme dispositif d’alerte, mais quasi personne ne sait quoi faire lorsqu’elles retentissent…
Le 29/08/2018 à 14h57
Tempête ou problème sur un site classé Seveso.
Le 29/08/2018 à 14h59
Le 29/08/2018 à 15h33
Dans les zones à risque, normalement les gens savent quoi faire, il y a des consignes claires et des simulations.
Le problème du SAIP, c’est qu’une part non négligeable des sirènes est HS. Il était question de remettre tout ça à plat, je ne sais pas où ça en est. Avec un peu de chance, le budget de rénovation des sirènes a servi à payer l’application…
Le 29/08/2018 à 16h09
Et ça en est où le procès intenté par le devellopeur de l’appli contre David ?
Le 29/08/2018 à 16h25
Le 29/08/2018 à 17h22
Le 29/08/2018 à 20h57
Le 29/08/2018 à 21h33
L’annee derniere, ils ont teste leur Emergency Mobile Alert en Nouvelle Zelande.
Je confirme, ca fonctionne tres bien et ca reveille les tympas !
La solution est tres simple, peu couteuse et ne demande pas de connaitre des details personnels (eg. Numero de tel des utilisateurs) et pas besoin d’installer d’applications a la c*n … Le seul defaut, qui disparaitra completement dans quelques annees, c’est que les vieux smartphone ne sont pas compatibles.
“Emergency Mobile Alerts are broadcast via cell towers to mobile phones with the ability to receive Emergency Mobile Alerts.
Emergency Mobile Alert was chosen as it’s reliable in an emergency. Emergency Mobile Alert uses a dedicated signal, so it’s not affected by network congestion. Unlike text message, Emergency Mobile Alert is also very secure and doesn’t require the private details of recipients.” https://www.civildefence.govt.nz/get-ready/civil-defence-emergency-management-alerts-and-warnings/emergency-mobile-alert/emergency-mobile-alert-frequently-asked-questions-faq/ https://www.stuff.co.nz/national/99168373/new-mobile-emergency-alert-to-be-tested-on-sunday
Bref, comment dilapider l’argent du moutontribuable alors que des solutions rapidement deployables et peu couteuses existent deja……………..
Le 30/08/2018 à 05h27
En regardant rapidement, un petit fait amusant : l’immonde et méchante Europe a un standard d’alerte de la population basée sur le Cell Broadcast depuis 2012.
Wikipediahttps://www.etsi.org/deliver/etsi_ts/102900_102999/102900/01.02.01_60/ts_102900v…
Et d’ailleurs visiblement l’UE va le généraliser :
https://www.francetvinfo.fr/monde/europe/l-union-europeenne-prepare-un-systeme-d…
Le 30/08/2018 à 05h51
Si c’est finalement le Cell Broadcast qui est choisi, c’est de toute façon le SAIP qui le gèrera en France, donc ça peut justifier la demande de traitement de données personnelles.
Ça ne justifie pas pour autant la servilité de la CNIL, ceci dit.
Le 30/08/2018 à 09h28
Pourquoi changerait-il ? A part ici, qui a jamais entendu parler de ça ? Le grand public, celui qui consomme du TF1 est bien loin de ce niveau de connaissance, quant à se révolter, à part un tweet rageur qui sert à rien. C’est pas demain la veille que l’on verra le peuple descendre dans la rue avec pique et fourche. " />
Le 30/08/2018 à 13h00
Le 30/08/2018 à 22h21
Le 31/08/2018 à 06h29
Pour ceux que ça intéresse, le rapport d’information du Sénat au sujet du programme SAIP :http://www.senat.fr/rap/r16-595/r16-5951.pdf (2016⁄2017)
Il me semble que NXI avait du le traiter aussi, mais ça fait pas de mal de le relire car très en phase avec cette actualité.
Le 31/08/2018 à 18h13
Le 02/09/2018 à 22h32
Le 03/09/2018 à 05h56