« Alerte attentat » : après l’application, voilà le traitement de données personnelles SAIP

« Alerte attentat » : après l’application, voilà le traitement de données personnelles SAIP

Sans publication de l'avis de la Cnil

52

« Alerte attentat » : après l’application, voilà le traitement de données personnelles SAIP

Au Journal officiel, l’Intérieur a publié un arrêté pour autoriser la création d’un traitement automatisé d’alerte des populations. Ce système préfigure l’arrivée d’un nouveau SAIP, abandonné en mai dernier. Contactée, la Cnil refuse de nous communiquer son avis motivé, qui n'a pas été publié malgré une obligation légale.

Lancée à l’occasion de l’Euro 2016, l’application SAIP (système d’alerte et d’information des populations) a finalement été délaissée deux ans plus tard par l’exécutif.

L’oraison funèbre a été nourrie en août 2017 par un rapport au Sénat qui jugeait cette app « imparfaite », avec des « bugs résiduels », issue d’un produit conçu « dans l’urgence » avec « des défaillances persistantes ». L’auteur du rapport, le sénateur Jean-Pierre Vogel, critiquait surtout la doctrine d’emploi, s’agissant d’alertes pas toujours déclenchées par les autorités.

À la place, l’exécutif a finalement prévu de privilégier les réseaux sociaux, en particulier Google, Facebook et Twitter. Sur ce dernier, le compte @Beauvau_Alerte a été calibré pour informer quiconque « d'un événement majeur de sécurité publique ou civile survenant en France ».

De même, a été envisagée la possibilité d’utiliser le Safety Check de Facebook, suite à un partenariat technologique. Sur Google, un bandeau d’alerte est censé mettre en avant les contenus diffusés par les autorités. Un système similaire doit être programmé sur France Télévisions, Radio France, la RATP et Vinci Autoroute, histoire d’informer les non-internautes. (le communiqué du ministère).

SAIP v2, en cas d'événements graves, imminents ou en cours de réalisation

Ce matin, au Journal officiel, un arrêté vient créer « un traitement de données à caractère personnel relatif au système d'alerte et d'information des populations ». Il laisse donc présager le déploiement effectif du nouveau système d’alerte. 

Concrètement, il autorise le ministère de l’Intérieur et plus précisément la direction générale de la sécurité civile et de la gestion des crises, à mettre en œuvre un traitement dont la finalité est « de permettre la diffusion des mesures d'alerte et d'information à destination de la population, à la demande d'une autorité de police administrative, en cas d'événements graves, imminents ou en cours de réalisation, susceptibles de porter atteinte à l'intégrité physique des personnes ».

Le texte a été publié sur le fondement de l’article 26 de la loi de 1978 sur l’informatique et les libertés. Celui-ci autorise en effet ces traitements de données personnelles mis en œuvre pour le compte de l’État et qui intéressent la sûreté, la défense ou, comme ici, la sécurité publique.

Deux traitements de données personnelles, un large accès

Peu bavard sur le mode opératoire, le texte signé Gérard Collomb permet l’enregistrement des données des agents habilités à accéder aux données et informations du traitement (nom, prénom, qualité, adresse, etc.) Un deuxième fichier s’intéresse cette fois aux destinataires de ces mêmes flux, que ce soit des personnes physiques ou morales (nom, prénom, adresse).

Plusieurs entités se voient reconnaître un droit d’accès à ces informations : le premier ministre, le ministre de l'Intérieur, les préfets, les maires, des agents de la direction de la sécurité civile et de la gestion des crises, mais encore les agents des services d'incendie et de secours dans leur zone de compétence. L’arrêté prévoit classiquement une traçabilité dans chacune des opérations, que ce soit pour la création, la consultation, la mise à jour et les suppressions éventuelles.

La Cnil refuse de communiquer son avis, à la publication obligatoire

Quelles seront exactement les modalités du système SAIP v.2 ? L’article 26 de la loi Informatique et libertés exige un avis motivé de la Commission nationale de l’informatique et des libertés. Parce qu’il est motivé, cet avis est nécessairement beaucoup plus détaillé que l’arrêté. Mieux, le même article demande à ce que l’avis de la Cnil soit publié en en même temps que l’arrêté, sans autre alternative, comme on peut le voir dans cette capture :

article 26 loi CNIL

Problème, on a beau fouiller le Journal officiel ou Legifrance, cette précieuse publication concomitante n’a pas eu lieu.

Contactée, la Cnil nous indique que la décision de publication est dans les mains des services du gouvernement. Elle interviendra dans les jours à venir, suite visiblement à un petit décalage calendaire. Il a cependant été fait interdiction à notre interlocuteur non seulement de nous transmettre l’avis, mais également de nous faire part d’une quelconque manière que ce soit de son contenu.

Cette politesse de l’autorité indépendante pour l’exécutif est aussi inexplicable qu’illicite puisqu’elle va à l’encontre d’une disposition législative de rang supérieur.

Commentaires (52)


Je pressens un nouveau recours CADA si la situation ne s’améliore pas ! &nbsp;&nbsp; <img data-src=" />

<img data-src=" />


Donc, Un pognon de dingue va encore être dilapidé pour un résultat qui risque d’être comique comme le précédent.<img data-src=" /><img data-src=" />


C’est moi ou la CNIL se barre en cacahuète ?

&nbsp;


Ou ils ont reçu la consigne de rien divulguer.


Oui j’ai lu, sauf que la CNIL est une autorité indépendante qui assumait encore son rôle il y a peu, même contre des décisions gouvernementales…



  • CADA : allo ?



    • Marc :&nbsp; Bonjour c’est Marc Rees

    • CADA : (soupir)

      <img data-src=" />



C’est reparti: appli, comptes , réseaux sociaux

Pas mal de gens n’ont pas de comptes , pas de facebook , pas de twitters ,

Par contre en principe ils reçoivent tous des SMS

ça me gave


C’est le prestataire qui va bien se gaver pour une appli jeter au chiottes dans quelques années.<img data-src=" />


J’ai pas bien compris : on parle des données de qui en provenance d’où ?


Vous devez avoir toutes les coordonnées des personnes à contacter à la CADA pour remédier à ça j’imagine <img data-src=" />


Typique de l’informatique gouvernementale française et ça coûte un pognon de dingue !


Si j’ai compris, entre les différentes administration de l’état pour le traitements de données personnelles (mais pas sûr a 100%).


SAIP, c’est sur, c’est un gros échec.

Petite question : il me semblait avoir lu qu’un protocole de communication d’urgence était implémenté dans la techno SMS. Quelqu’un en sait plus? Car si cela existe, je ne comprend pas l’utilité d”avoir développé SAIP.


Il me semble avoir vu un rapport d’une commission sénatoriale réalisée il y a une quelques années dans lequel les FAI disaient que le coût d’implémentation de la fonctionnalité était trop élevé.


Pas en France, l’infrastructure n’existe pas chez nos Fai si me souviens biens.


Pour plus d’infos :

https://en.wikipedia.org/wiki/Wireless_Emergency_Alerts

Qui fait partie de :

https://en.wikipedia.org/wiki/Integrated_Public_Alert_and_Warning_System



Tout ceci c’est que l’état ne veut pas forcer les opérateurs à mettre en place la solution à leur frais.



Et si c’est l’état qui paye, ça sera pour chacun des opérateurs…



Edit : Comme tout bon projet, on va se rendre compte qui si on avait fait correctement dès le début, ça aurait coûté bien moins cher.


En complément, il existe un article Wikipédia anglais, peu sourcé, qui parle d’un EU-Alert basé sur le WEA/CMAS :

https://en.wikipedia.org/wiki/EU-Alert



Il parle aussi d’un FR-Alert.


Le gouvernement va toujours plus loin pour ridiculiser la “French Tech”: pognon de dingue pour zéro résultat <img data-src=" />


“Il a cependant été fait interdiction à notre interlocuteur non seulement de nous transmettre l’avis, mais également de nous faire part d’une quelconque manière que ce soit de son contenu.



Cette politesse de l’autorité indépendante pour l’exécutif est aussi inexplicable qu’illicite puisqu’elle va à l’encontre d’une disposition législative de rang supérieur.”



Non mais même pour des choses aussi anecdotiques (l’avis favorable ou non, long ou petit de la CNIL n’intéressera personne) ils ne s’estiment pas dans l’obligation de respecter la Loi et donnent en plus l’instruction à la CNIL de s’écraser ?!? (démontrant là encore la portée du terme “indépendant” dans AAI…).



Ils en ont pas soupé de telles pratiques et alors même que les scandales s’accumulent, chaque jour nouveau chassant l’affaire de la veille ?



  • 1

    C’est le point le plus important!!








Tandhruil a écrit :



C’est moi ou la CNIL se barre en cacahuète ?

&nbsp;





Hélas la CNIL est plutôt constante…









TheMyst a écrit :



Pour plus d’infos :

https://en.wikipedia.org/wiki/Wireless_Emergency_Alerts



 Qui fait partie de :       



https://en.wikipedia.org/wiki/Integrated_Public_Alert_and_Warning_System




 Tout ceci c'est que l'état ne veut pas forcer les opérateurs à mettre en place la solution à leur frais.





Edit : Il suffirait de conditionner l’acquisition des licences 5G au déploiement, non ?









JoePike a écrit :



C’est reparti: appli, comptes , réseaux sociaux

Pas mal de gens n’ont pas de comptes , pas de facebook , pas de twitters ,

Par contre en principe ils reçoivent tous des SMS

ça me gave







Je ne dis pas que ca ne débouchera pas là dessus, mais dans la news, rien n’est stipulé sur le comment les alertes seront faites.



Ca peut très bien être par SMS.



Oui ca s’appelle le CellBroadCast et c’est implémenté depuis la 2G!


WTF!

Merci, c’est bien ça que j’avais lu, du coup, une petite recherche : ça fait 10 ans que c’est utilisé au Japon :

https://www.freenews.fr/freenews-edition-nationale-299/free-mobile-170/lunion-eu…

“Nul besoin de disposer d’un smartphone récent pour en bénéficier : ce

protocole, déployé au Japon depuis plus de 10 ans, a l’avantage de

fonctionner sur la quasi-totalité les mobiles du marché. Ainsi, les

personnes âgées armées d’un simple dumbphone, ou les voyageurs de

passage ayant désactivé leur connexion Internet, ne sont pas oubliés.”

C’est trop simple, pas assez cher (on peut pas arroser les entreprises des potes ou de la famille), et sur un dossier de carrière, c’est vachement moins bien que de dire : j’ai rédigé un cahier des charges, piloté un appel d’offre, …


C’est exact <img data-src=" /> mais le lien de la news pointe la ou ça demande de s’inscrire et d’activer les notifications

Perso je ne suis inscrit nulle part et je ne m’inscrirai nulle part.



https://twitter.com/beauvau_alerte?lang=fr




Peu bavard sur le mode opératoire, le texte signé Gérard Collomb permet l’enregistrement des données des agents habilités à accéder aux données et informations du traitement (nom, prénom, qualité, adresse, etc.) Un deuxième fichier s’intéresse cette fois aux destinataires de ces mêmes flux, que ce soit des personnes physiques ou morales (nom, prénom, adresse).



si je comprend bien, les données personnelles en question sont donc celles des agents, pas celles du péquin moyen.

et les destinataires… à priori ils vont pas lister tous les français, je vois pas trop l’intérêt.

j’avoue que je suis un peu circonspect…


Faut dire que si les agents en question font partie du bureau des légendes , ce n’est pas simple

<img data-src=" />


Et au final quand on additionnera le budget de toute ces solutions foireuses, on verrat que sa aurait payé largement le SMSBroadcasting….








L4igleNo1r a écrit :



Et au final quand on additionnera le budget de toute ces solutions foireuses, on verrat que sa aurait payé largement le SMSBroadcasting….





Je suis certain que les mecs aux commandes ne savent même pas pourquoi la sirène retentit à midi tous les premiers mercredi du mois

<img data-src=" />



Je vois que je suis pas le seul pour qui ce n’est pas clair…



Au début je pensais aux données que l’appli SAIP avait collecté sur les utilisateurs et qui vont être partagées avec les instances administratives.



Mais après, si c’est comme tu dis, ça concerne les données prises chez les réseaux sociaux à propos de leur utilisateurs (pour savoir par exemple qui est où et savoir à qui envoyer une notif et aussi savoir qui se trouve dans les manifs anti-macron mais chut)…





Du coup c’est pas plus clair^^’



(et la page sur Legifrance n’est pas plus claire non plus)


Sauf que la différence c’est que là on parle d’un budget public et de l’autre côté d’un budget privé (les FAI).



A moins, comme dit par quelqu’un d’autre sur ce fil, que ce soit l’Etat qui finance l’investissement pour les FAI… Donc x4.



Bref, pas vraiment de solution miracle pour compenser quelque chose qui n’a jamais été mis en place. La France n’en a jamais eu besoin car ce n’est pas un pays à risque (sismique, etc) contrairement aux autres pays comparés. La fréquence des attaques terroristes qui a augmenté est un phénomène beaucoup trop récent.


Risque nucléaire tout de même et inondations.


Je parlais de l’état qui finance l’investissement.



Sinon quand l’état a fait cadeau du renouvellement des licences pour couvrir les zones blanches, il aurait put glisser le CellBrodcast dedans. De toute façons on le demandera pas non plus pour la 5G donc on restera sur des solutions bancal encore un bon moment.


Ce sont des risques oui, mais il faut croire que ça n’a jamais été estimé comme nécessitant une infrastructure d’alerte similaire aux pays à l’activité sismique élevée, typhons, etc.



En France on a des sirènes un peu partout comme dispositif d’alerte, mais quasi personne ne sait quoi faire lorsqu’elles retentissent…


Tempête ou problème sur un site classé Seveso.








SebGF a écrit :



….

En France on a des sirènes un peu partout comme dispositif d’alerte, mais quasi personne ne sait quoi faire lorsqu’elles retentissent…







Quand ça retentit faut s’inscrire sur twitter

<img data-src=" />



Dans les zones à risque, normalement les gens savent quoi faire, il y a des consignes claires et des simulations.



Le problème du SAIP, c’est qu’une part non négligeable des sirènes est HS. Il était question de remettre tout ça à plat, je ne sais pas où ça en est. Avec un peu de chance, le budget de rénovation des sirènes a servi à payer l’application…


Et ça en est où le procès intenté par le devellopeur de l’appli contre David ?








Chandon a écrit :





  • CADA : allo ?



    • Marc :  Bonjour c’est Marc Rees

    • CADA : (soupir)

      <img data-src=" />







      Rectification



    • CADA : allo ?

    • Marc : Bonjour c’est Marc Rees

    • CADA : bipppppppppppppppppppppp

    • Marc : Mais ??

    • David.L : <img data-src=" />

    • Xavier : En même temps Marc… Tu cherche aussi <img data-src=" />

      <img data-src=" />










numerid a écrit :



Risque nucléaire tout de même et inondations.







Sans compter les alertes possible pour dire “fuite de gaz dans un tel quartier” , les incendies dans les entreprises utilisant des produits chimique (les “fermez les fenêtres”)&nbsp; etc









Ami-Kuns a écrit :



Donc, Un pognon de dingue va encore être dilapidé pour un résultat qui risque d’être comique comme le précédent.<img data-src=" /><img data-src=" />





Je ne serais pas aussi optimiste que toi et tablerait pour un resultat qui sera comique comme le precendent.

&nbsp;C’est 100% garanti (mark my words)



L’annee derniere, ils ont teste leur Emergency Mobile Alert en Nouvelle Zelande.

&nbsp;Je confirme, ca fonctionne tres bien et ca reveille les tympas !



&nbsp;La solution est tres simple, peu couteuse et ne demande pas de connaitre des details personnels (eg. Numero de tel des utilisateurs) et pas besoin d’installer d’applications a la c*n …&nbsp;&nbsp;Le seul defaut, qui disparaitra completement dans quelques annees, c’est que les vieux smartphone ne sont pas compatibles.



&nbsp;“Emergency Mobile Alerts are broadcast via cell towers to mobile phones with the ability to receive Emergency Mobile Alerts.

Emergency Mobile Alert was chosen as it’s reliable in an emergency. Emergency Mobile Alert uses a dedicated signal, so it’s not affected by network congestion. Unlike text message, Emergency Mobile Alert is also very secure and doesn’t require the private details of recipients.” &nbsp;https://www.civildefence.govt.nz/get-ready/civil-defence-emergency-management-alerts-and-warnings/emergency-mobile-alert/emergency-mobile-alert-frequently-asked-questions-faq/&nbsp;&nbsp;https://www.stuff.co.nz/national/99168373/new-mobile-emergency-alert-to-be-tested-on-sunday&nbsp;



&nbsp;Bref, comment dilapider l’argent du moutontribuable alors que des solutions rapidement deployables et peu couteuses existent deja……………..

&nbsp;


En regardant rapidement, un petit fait amusant : l’immonde et méchante Europe a un standard d’alerte de la population basée sur le Cell Broadcast depuis 2012.



https://en.wikipedia.org/wiki/EU-Alert

https://www.etsi.org/deliver/etsi_ts/102900_102999/102900/01.02.01_60/ts_102900v…



Et d’ailleurs visiblement l’UE va le généraliser :

https://www.francetvinfo.fr/monde/europe/l-union-europeenne-prepare-un-systeme-d…


Si c’est finalement le Cell Broadcast qui est choisi, c’est de toute façon le SAIP qui le gèrera en France, donc ça peut justifier la demande de traitement de données personnelles.



Ça ne justifie pas pour autant la servilité de la CNIL, ceci dit.


Pourquoi changerait-il ? A part ici, qui a jamais entendu parler de ça ? Le grand public, celui qui consomme du TF1 est bien loin de ce niveau de connaissance, quant à se révolter, à part un tweet rageur qui sert à rien. C’est pas demain la veille que l’on verra le peuple descendre dans la rue avec pique et fourche. <img data-src=" />








spidermoon a écrit :



…C’est pas demain la veille que l’on verra le peuple descendre dans la rue avec pique et fourche. <img data-src=" />



En même temps, il ne doit plus y avoir grand monde disposant de fourches et/ou de piques… <img data-src=" />

Quant-à ceux qui ne sont pas devant TF1 il y a des chances pour qu’ils soient sur facebook, pas sûr que ce soit forcément mieux… <img data-src=" />









Quiproquo a écrit :



&nbsp;donc ça peut justifier la demande de traitement de données personnelles.







Le Cell Brodcast ne necessite pas de donnees personnelles. Tous les smartphone recevant le signal d’une antenne ou le Cell Brodcast est active, recevront le message.



&nbsp;Il n’y a pas besoin de SAIP. Il suffit que les operateurs telcos diffusent ou autorisent la diffusion par un tiers du message sur leurs antennes… C’est tout.. Easy…. On recoit deja des messages des operateurs par Cell Brodcast depuis les debuts des telephones portables pour le grand public.



Pour ceux que ça intéresse, le rapport d’information du Sénat au sujet du programme SAIP :http://www.senat.fr/rap/r16-595/r16-5951.pdf (20162017)



Il me semble que NXI avait du le traiter aussi, mais ça fait pas de mal de le relire car très en phase avec cette actualité.








kevinz a écrit :



Le Cell Brodcast ne necessite pas de donnees personnelles.





Le Cell Broadcast Service n’est qu’un canal parmi d’autres (radio, panneaux d’affichage, sirènes…) pour avertir la population.

Il est prévu que l’obligation d’implémenter un système de reverse 1-1-2 soit assortie d’une géolocalisation plus précise des appelants. Il n’est pas exclu que le SAIP ait à gérer des données personnelles dans ce contexte (par exemple si le choix est fait de faire un traitement statistique des appels de détresse ayant entrainé un recours au PWS). Je ne fais que spéculer, je n’ai aucune information à ce sujet.







kevinz a écrit :



Il n’y a pas besoin de SAIP. Il suffit que les operateurs telcos diffusent ou autorisent la diffusion par un tiers du message sur leurs antennes… C’est tout.. Easy….





Oui, c’est facile, mais le tiers en question, c’est le SAIP, donc je ne vois pas en quoi le fait d’utiliser le CBS rend le SAIP inutile. À moins que dans ton plan on supprime le SAIP et que ce soit chaque préfet et chaque maire qui gère ça dans son coin, mais je ne vois pas trop l’intérêt. « Allo, M. Orange ? C’est Jean Dupont, maire de Cramponne-sur-Arzon, je déclenche une alerte sur le lieux-dit La Grosse Fouille. Vous êtes prêts ? Je dicte le message… » À mon avis c’est plus efficace avec le SAIP.










Quiproquo a écrit :



Oui, c’est facile, mais le tiers en question, c’est le SAIP, donc je ne vois pas en quoi le fait d’utiliser le CBS rend le SAIP inutile. À moins que dans ton plan on supprime le SAIP et que ce soit chaque préfet et chaque maire qui gère ça dans son coin





PWS = ?



&nbsp;On parle d’un message d’alerte d’urgence a la population. Ca doit etre simple et efficace: le message doit etre recu par le maximum de personnes dans la zone concernee. Pas besoin de donnees persos pour ca.

&nbsp;

&nbsp;Si on veut faire de la geolocalisation et stats, c’est un autre sujet.

&nbsp;

&nbsp;Pourquoi creer un nieme quadruplons quand il y a deja des services d’urgence qui pourraient independemment et immediatement lancer le message d’urgence ?

&nbsp;Securite civile, gendarmerie, police, prefecture, ministere de l’interieur et armee par exemple.



&nbsp;Avec le SAIP, on cree encore un truc qui va couter une fortune et qui va creer une etape supplementaire entre services d’urgences et les operateurs telcos… C’est inutile et risque si SAIP foire pour quelconque raison…



&nbsp;En NZ, differents services peuvent independemment lancer un message d’alerte sans passer par un intermediaire:



&nbsp;&nbsp;&nbsp; New Zealand Police

&nbsp;&nbsp;&nbsp; Fire and Emergency New Zealand

&nbsp;&nbsp;&nbsp; The Ministry of Health

&nbsp;&nbsp;&nbsp; The Ministry for Primary Industries

&nbsp;&nbsp;&nbsp; The Ministry of Civil Defence & Emergency Management

&nbsp;&nbsp;&nbsp; Local Civil Defence Emergency Management Groups.









kevinz a écrit :



PWS = ?





Système d’Alerte aux Populations (c’est pas intuitif comme acronyme, mais on commence à avoir beaucoup de langues officielles…)







kevinz a écrit :



Pourquoi creer un nieme quadruplons quand il y a deja des services d’urgence qui pourraient independemment et immediatement lancer le message d’urgence ?

 Securite civile, gendarmerie, police, prefecture, ministere de l’interieur et armee par exemple.



 Avec le SAIP, on cree encore un truc qui va couter une fortune et qui va creer une etape supplementaire entre services d’urgences et les operateurs telcos… C’est inutile et risque si SAIP foire pour quelconque raison…





On ne crée pas, on rénove. Le SAIP existe déjà, il a été mis en place parce que l’ancien système (le RNA, qui date de la deuxième guerre mondiale et est d’usage civil depuis près de 50 ans) était trop hétérogène et décrépi.



Fermer