Le projet de loi destiné à adapter la législation française au règlement européen sur la protection des données personnelles a été présenté ce matin en Conseil des ministres. L’objectif : préparer la mise en application de la réforme impulsée par l'UE, fixée au 25 mai prochain.
Porté par la ministre de la Justice, Nicole Belloubet, le texte d’origine gouvernementale « transpose le nouveau cadre juridique européen (le règlement 2016/679 et la directive 2016/680) » en matière de données personnelles.
Même si le Règlement général sur la protection des données personnelles (RGPD) est d’application directe, la France s’apprête à opérer un toilettage de son droit, afin de mettre à jour certains textes. À commencer par la loi « Informatique et Libertés » de 1978. Le législateur prendra également position dans certains domaines où l’Union européenne a laissé une marge de manœuvre aux États membres.
L’exécutif annonce par exemple qu’il a décidé de fixer à 16 ans l’âge à partir duquel un mineur pourra validement donner son consentement à ce que ses données personnelles puissent être collectées, notamment par les estomacs de Facebook, Instagram ou Twitter. La France avait dans ce domaine la possibilité de descendre jusqu’à 13 ans.
Renforcement du pouvoir de sanction de la CNIL, droit à la portabilité des données...
Sur le terrain des mises à jour, figure notamment le renforcement du pouvoir de sanction de la Commission nationale de l’informatique et des libertés (CNIL). Les amendes de la gardienne des données personnelles pourront en effet atteindre « 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial consolidé », indique l’exécutif. Le droit à la portabilité des données, anticipé par la loi Numérique, sera également abordé.
Le gouvernement précise enfin qu’il a « fait le choix de maintenir certaines formalités préalables pour les traitements des données les plus sensibles, par exemple pour les données biométriques nécessaires à l’identification ou au contrôle de l’identité des personnes, ou ceux utilisant le numéro d’inscription au répertoire national d’identification des personnes physiques ».
Nous reviendrons plus en détail sur ce projet de loi lorsque son contenu exact aura été rendu public.
Protection et simplification pour les données personnelles avec @NBelloubet et @mounir :
— Benjamin Griveaux (@BGriveaux) 13 décembre 2017
✅ Un cadre unifié en Europe
✅ Un droit à la portabilité des données pour changer de plateforme facilement
✅ Une protection renforcée des mineurs de moins de 16 ans#ConseilDesMinistres pic.twitter.com/4CE9JZUFd4
Commentaires (53)
J’ai participé à plusieurs webinars là dessus, c’est assez “marrant” car des demandes ou des possibilités offertes par la RGPD ne sont pas compatible avec ce qui nous est demandé de garder légalement comme données perso sur les personnes que nous recevons…
… Y’a rien de clair, mais ça doit être mis en place pour fin mai, haha….
Ils ont même pas appelé ça “Gen 2 ou V2 ou CNIL 2.0” je suis déçu
" />
“Où l’Union européenne a laissé une marge de manœuvre aux États membres.”
" />
" />
" />
“avec …….Un cadre unifié en Europe”
Unifié ?
Je me demande ce que tous ces “machins” vons devenir quand l’UE s’effondrera…
" />
De quel machin tu parles ? La CNIL est française, si l’UE s’effondre elle continuera à exister.
" />
A moins que tu fasses référence au Conseil des Ministres ? Là c’est vrai que si l’UE s’effondre, Macron et le gouvernement n’auront plus de chef pour leur dicter quoi faire au niveau national
Déjà le RGPD, ne sait même pas comment le mettre en place dans ma société. C’est ultra chaud.
Ca ne veut pas dire que fin mai la mitrailleuse à distribuer les amendes commence à faire tourner ses tubes non plus… il y aura certainement une phase d’accompagnement, dans l’esprit de ce que fait la CNIL actuellement.
La CNIL française et la loi informatique et libertés étant pionnières du sujet et ayant été à ma connaissance un des socles des lois européennes sur le sujet il y a des chances que ça ne change pas grand chose, c’est plutôt les autres européens qui ont nos lois sur ce sujet que l’inverse.
Dans plein d’endroits ça nécessite de redévelopper le coeur des applis et de modifier des processus vitaux, à commencer par les administrations publiques…
" />
Faut pas paniquer selon moi, ça se fera petit à petit. C’est plus les éditeurs logiciels qui devraient avoir la pression là que les clients finaux
Développeurs de modules d’archivistique, un métier d’avenir
Exact, la CNIL joue à fond son rôle de pédagogue. Il suffit de voir à quelle fréquence elle met des amendes ou des avis publics (à peine quelques un par an), le reste du temps elle prend en considération les difficultés à se mettre en confirmité et peut conseiller, surtout les petites boites qui n’ont pas de référent “protection des données” à plein temps.
Sinon 16 ans c’est bien comme âge pour la majorité numérique.
Ce n’est pas bien de faire la corrélation avec le cul. Un gosse de huit ans peut très bien maîtriser l’assembleur sans pour autant être un voyeur
Me connaissant un peu, tu dois savoir que j’aime jouer sur les mots
" /> (quoi que dans ce cas bien précis de ce que j’ai cité avant, la vidéo-protection pourrait remplir sa fonction citoyenne ou pas, mais limiter des actions extrêmement déstructifs)
C’est à dire ?
Mouais, encore faudrait-il qu’il y ait des gus (qui ne jouent pas à WoW ou CoD) derrière les écrans … et c’est du vécu.
" />
Comme dans la série de silicon valley?
" />
Oui. J’aimerais bien faire chier les transports publique. A lille, on à des cartes de transport avec nos photos, et nous sommes obligé de pointé tout le temps mal grès un abonnement illimité. Sa me soul grave, j’ai juste envie de dire : non, je pointe pas, vos données ne sont pas crypté etc x)
En plus, je sais même pas à quoi servent ces informations et/ou elle sont protégés ou pas….
ça m’arrive de temps en temps, mais c’est parce que j’ai les mains palmées comme les pattes des canards .
" />
Combien de temps faudra t’il pour que l’humanité réalise qu’il est vital d’interdire purement et simplement la collecte et le commerce de données personnelle.
Sanctuariser la vie personnelle est primordial, dans le cas contraire, nous irons vers des troubles sociétaux majeurs.
J’espère qu’un jour nous réaliserons qu’ils faut apprendre à dire non face à des multinationales d’envergure mondiale.
Le truc c’est que c’est comme le reste, il n’y a rien de précis dessus, et même si les sociétés qui “accompagnent” ce changement vont dans ce sens, les 3 présentations que j’ai vu disent la même chose “On pense que..; mais on ne sait pas”. :(
C’est à dire qu’une personne qui vient chez nous doit nous laisser des données personnelles (obligation légale qu’on doit retourner à la région en l’occurrence, et je ne vous dis pas le genre d’info qu’ils demandent: minorité ethnique ou non, des trucs comme ça entre autres infos plus classiques…).
" />
Ces données, on doit les garder 5 ans minimum. Mais avec la RGPD une personne peut venir n’importe quand et nous demander d’effacer toute trace de son passage (ce que je trouve normal dans le principe)… Mais si on fait ça, alors on ne peut plus renvoyer d’info à la région.
On leur a posé la question (à la région), qui nous a répondu texto: “Faut suivre la RGDP… mais pouvoir nous redonner des infos 5 ans après quand même…
Dans les présentations que j’ai eu de la RGPD, nous avons aussi demandé “que faire des données personnelles qui doivent être garder avec une durée légale déjà définie ?”. Les éditeurs nous ont répondu qu’elles devaient continuer à être conservées et l’utilisateur ne peut pas demander la suppression car elles sont conservées dans un contexte précis et légal.
L’important, de ce que j’ai réussi à comprendre de cette RGPD complexe, c’est d’avoir une “cartographie” bien détaillé de quelles données personnelles nous disposons, de comment elles sont gérées (accès, …),protégées et supprimer lorsqu’elles doivent l’être. Et il faut bien sûr avoir aussi définit un “référent RGPD” pour garantir la MAJ régulière de cette “cartographie”.
Nous n’avons pas encore trop creusé au final car nous sommes très peu concernés, nous avons des données personnelles basiques : données salariés dont la plupart sont aussi concernées par une conservation légale. On doit encore rencontrer quelques prestataires spécialisées pour faire un audit en bonne et due forme pour être conforme à cette RGPD.
Bon faut que je me réveille, j’ai cru lire dans le tweet @Moundir, j’ai pas compris 🤣
Moi j’avais retenu d’un ancien collègue que la loi nous obligerait à verrouiller tout poste informatique avec des données comptables (mot de passe de session à changer régulièrement + cryptage des données), qu’en est-il ?
Ca consiste juste à prendre en compte les évolutions de l’informatique. De plus en plus de choses sont automatisées il faut donc gérer les garanties sur la vie privée dès la conception des logiciels (auto archivage, consentement cnil electronique, durée d’utilité administrative des infos nominatives etc.).
On n’est pas du tout dans une nouvelle législation dans l’esprit, juste une adaptation à un monde de plus en plus géré par des robots, si ça ne venait de l’europe ça viendrait probablement de la CNIL elle même.
Je ne suis pas fan de l’Europe sur l’aspect casse sociale et démocratie fantoche mais sur le respect des droits de l’homme l’Europe a fait considérablement avancer les choses en France donc il n’y a pas de passif sur le sujet qui doive faire craindre une législation européenne sur les données personnelles selon moi.
l’internet et fait de chat et de chien : https://en.wikipedia.org/wiki/On_the_Internet,_nobody_knows_you%27re_a_dog
Je ne connais pas la série désolé…
Les informations servent probablement à planifier les tournées de bus/tram/métros et leur fréquence fonction de la fréquentation.
Il serait effectivement bien (ne serai-ce que pour la liberté des proches des gens qui gèrent les fichiers de transport) qu’elles soient anonymes/anonymisées effectivement.
C’est pour ça qu’il faut un correspondant données personnelles dans les entreprises et prévoir de faire évoluer la gestion des données dans les années à venir. Rien de bien compliqué non plus.
Si le gosse en question doit coder en assembleur un client facebook, il aura largement 16 ans quand il pourra envoyer des pokes
" />
“Les informations servent probablement à planifier les tournées de
bus/tram/métros et leur fréquence fonction de la fréquentation.”
Peut être que oui. Mais, depuis que je prend les transports en commun, je suis plus dégouté que autres choses.
Serrer comme des citrons tout le temps. C’est bien de prendre des informations mais si cela sert à rien…
Sa serait bien d’enquêter sur ces données.
Il s’agit de l’age pour la collecte des données personnelles en ligne sans autorisation parentale, rien à voir avec l’age auquel tu as le droit de surfer ou coder si j’ai bien compris.
Ils optimisent le remplissage justement
" />
Non mais sérieux. Je me lève, je prend le bus. Déjà, je bip + vidéo surveillance dans le bus. Metéo idem. Gare : caméra. Le train, tu bip. Tu sorts du train : nouvelle gare donc caméra.
Retour idem. A part que quand tu rentres, tu repasse par la gare, tu es fatigué de ta journée, tu as les yeux explosé par les écrans, bah tu te fais contrôler par les keufs. Pour la menace terroriste? Bien sûre que non, juste pour te demander si tu as de la drogue, du coup, tu es obligé de vidé ton sac, poche etc. C’est beau.
C’est certain, on n’a pratiquement jamais autant été démarché qu’aujourd’hui.
" />
Concernant l’aspect légal qui prend le dessus, pour le moment on n’a aucune info dessus.
Les fameux consultants nous parlent de “pseudonimisation”, on n’efface plus la personne mais au lieu de M Dupont, ça devient m. Trucmuche, avec une adresse fantaisiste et j’en passe.
Bref, on a des données, mais inexploitables, et on est incapable de ressortir des infos géographiques comme ça nous est demandé.
Beaucoup, beaucoup (trop) de flou pour le moment…
@yvan> Le truc c’est que auras beau avoir quelqu’un de “dédié” à ça, tout pendant qu’on reçoit des infos contradictoires il ne pourra pas faire grand chose malheureusement.
Faire évoluer le traitement des données personnelles c’est une bonne chose, mais encore faut-il que le donneur d’ordre sache ce qu’il veuille. ;)
Totalement d’accord avec ton commentaire concernant les consultants, qui vont s’en donner à cœur joie.
" />
Il faudra être très vigilant car les charlatans vont aussi être de la partie. :)
Concernant la pseudonimasation, je pense qu’il faudra attendre quelque chose de clair dans la loi, car entre “effacer les traces d’un utilisateur”, ou juste ajouter un pseudo en plus concernant son enregistrement dans une BDD, y’a un monde on va dire.Perso quand je demande à être “effacé” d’une base, je demande à être effacer, pas qu’on mette un booléen à true dans mon enregistrement.