Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Les sénateurs interdisent le traitement des données françaises stockées hors Europe

Safe Shield

Les sénateurs interdisent le traitement des données françaises stockées hors Europe

Le 29 avril 2016 à 14h10

Les votes s’enchaînent au Sénat. Dans le cadre du projet de loi sur le numérique, un article adopté veut obliger les acteurs, notamment en ligne, à stocker les données personnelles des Français en Europe, du moins s'ils veulent effectuer sur leur dos des traitements automatisés. Une disposition qui interdit également tout transfert hors UE.

La disposition en cause est simple, mais explosive voire délirante. Elle impose à tous les acteurs, qu’ils soient du numérique ou non, de stocker sur des serveurs installés en Europe les traitements de données personnelles concernant les Français. Une obligation assez chimique puisqu’il n’est pas toujours évident de déceler la nationalité d’une donnée personnelle… De plus comment imposer une telle règle à l'ensemble des sites de la planète ?

Juridiquement, elle enrichit d’un petit complément la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Il concerne la section 1 de cette loi, relative aux dispositions générales des traitements de données à caractère personnel. En substance, voilà sa rédaction adoptée par les sénateurs :

« Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : [ces données] sont stockées dans un centre de données situé sur le territoire de l’un des États membres de l’Union européenne, et, sans préjudice des engagements internationaux de la France et de l’Union européenne, ne peuvent faire l’objet d’aucun transfert vers un État tiers. »

Une obligation impossible à mettre en oeuvre

Pour les sénateurs du Groupe communiste républicain et citoyen, « Il s’agit (…) de s’assurer ainsi de l’applicabilité des dispositions législatives prises au niveau européen, en matière de protection des données personnelles. L’annulation du Safe Harbor par la Cour de Justice de l’Union européenne rend d’autant plus critique cette disposition. »

L’annulation du Safe Harbor a théoriquement fermé le robinet principal du transfert des données de l’Europe vers les États-Unis compte tenu du manque de garanties et de l’appétit des services de la NSA. Seul hic, le Privacy Shield, son remplaçant, a lui fait lui aussi objet de critiques venues des autorités de contrôle européennes réunies au sein du G29.

Les critiques du Gouvernement inaudibles

Le vote de cet article à une belle majorité n’a fait que peu de cas des remarques d’Axelle Lemaire. La secrétaire d’État au numérique a vainement estimé que cette disposition n’était « pas souhaitable », expliquant en outre que la problématique première est celle de la sécurisation des flux vers les États-Unis et les autres États tiers à l’Europe. En outre, ce sujet devrait avant tout être débattu dans le cadre des négociations européennes.

En appui de cette obligation de centralisation, l’article interdit en plus le transfert de n'importe quelle donnée personnelle vers un État tiers. Soit l'installation d'une frontière numérique dans le périmètre de toute l'Europe. Naturellement, peu de chance que l’article soit maintenu dans le texte définitif.

Commentaires (45)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Une vidéo, une bande son, des données sont des infos faciles à trafiquer pour faire dire les vérités ou les mensonges que l’ on souhaite sur tout un chacun.

Ce que j’ ai déjà personnellement réalisé  ….

 Pouvoir sanctionner ceux qui travestissent les données ne peut par conséquent se réaliser qu’ au cas où l’ hébergeur est localisable et pénalisable juridiquement sur le territoire.

Je ne veux pas faire peur mais il faut être bien conscient qu’ à partir du moment où on ne peut maitriser le détenteur et la source de nos données tout peut vous arriver sans que vous puissiez rien et penser que ce n’ est pas possible c’ est être niais.

Ce n’ est pas Snowden ou un autre lanceur d’ alerte qui pourra vous rassurer.

L’ idée sénatoriale me semble donc correspondre aux obligations de responsabilité dont ils ont la charge en tant que représentant du peuple français concernant notre sécurité à cet égard.

Et pour une fois que ces gens grassement payés font leur boulot, je vais pas me plaindre.

Après cela que la loi soit facilement applicable ou non est une autre chanson mais je ne vois pas pourquoi des sites pourraient accumuler des données sur ma personne sans que les représentants de mon pays ne puissent directement sanctionner l’ usage qui en est fait.

C’ est un contre sens vu que les données sont le nouveau pétrole du monde et je ne vois pas pourquoi on en priverait nos propres entreprises au détriment d’ entreprises étrangères.

votre avatar

il me semble que Google a déjà des data center en europe ;)

votre avatar

Il en ont, certes.

mais tout n’est pas en Europe.

logiquement, ils tombent sous le coup de cette obligation.

votre avatar



rg54 a écrit :



Après, faut pas se voiler la face, à la place, ça sera les services secrets du pays hébergeant le data-center  …..



…et, qui s’emprésseront de les REVENDRE aux USA !




  1. pour êtres “bien vus” par ces derniers

  2. on NE sait jamais !

    (un p’tit service à demander à la NSA) ?

votre avatar







MarcRees a écrit :



Tu es mexicain 



Tu as un site.      


Un Français s'y inscrit.      


Il y a donc un traitement sur des données personnelles.      


Tu es donc en infraction faute de serveur de stockage en Europe.






Et en limitant les cookies (ce serait déjà plus raisonnable). Laisser passer quelques données ne devraient pas être gênant pour la vie privée


votre avatar

C’est déjà define ça.

votre avatar

Je suis curieux de connaître la définition juridique de “traitement automatique”

votre avatar

Toute donnée qui transite par le firewall d’Open Office

votre avatar







DarkMoS a écrit :



Toute donnée qui transite par le firewall d’Open Office





Mde, j’utilise maintenant Libre Office&nbsp;<img data-src=" /> <img data-src=" />


votre avatar

Et ils compte le vérifier par quel moyen??

votre avatar







Pochi a écrit :



Je suis curieux de connaître la définition juridique de “traitement automatique”







legifrance.gouv.fr République Française


votre avatar

Comme pour beaucoup de loi : si le délie est constaté -&gt; jugement -&gt; peine.

Ce n’est pas parce qu’il y a une loi contre le meurtre qu’on a tous une sonde dans le cul pour nous empêcher de le faire <img data-src=" />



Ca vise déjà les plus gros comme Facebook, Google, Amazon etc. Il est sûr et certains qu’ils font du traitement automatisé.

votre avatar







MarcRees a écrit :



Tu es mexicain

Tu as un site.

Un Français s’y inscrit.

Il y a donc un traitement sur des données personnelles.

Tu es donc en infraction faute de serveur de stockage en Europe.



Le mexicain qui a sa boîte au Mexique n’est pas soumis à la loi française, donc il n’est pas en infraction.

En revanche, &nbsp;le jour où il ouvre une filiale en France, là il faudra qu’il ait ses serveurs en Europe.

&nbsp;


votre avatar

Why not.

Vérification sur déclaratif et par contrôle aléatoire ou dénonciation … au pire.



La Russie l’a bien imposé pour pas mal de données et toutes les grandes entreprises étrangères travaillant en Russie se mettent au diapason …. ça fait des projets migration : applications logicielles, données etc …



Il sera difficile de mettre un flic derrière chaque site web, mais pour les gros CA … ça me semble bien faisable.

Le plus important n’est pas tant un (petit) siteweb comme PCi, que ceux des entreprises qui génèrent un gros chiffre et … des impôts.

Cette mesure n’a que fiche des petits poissons.

D’ailleurs, c’est déjà le cas en partie.

Après tout, Facebook héberge les données des utilisateurs français dans un datacenter d’Aubervilliers.





En sus … laisser les données en France réduira la balance de compensation entre les opérateurs télécoms en faveur des français. Pour le moment, c’est disproportionnément les US qui sont vainqueurs car les data sont chez eux et viennent chez nous.

votre avatar







CryoGen a écrit :



Comme pour beaucoup de loi : si le délie est constaté -&gt; jugement -&gt; peine.

Ce n’est pas parce qu’il y a une loi contre le meurtre qu’on a tous une sonde dans le cul pour nous empêcher de le faire <img data-src=" />



Ca vise déjà les plus gros comme Facebook, Google, Amazon etc. Il est sûr et certains qu’ils font du traitement automatisé.









luxian a écrit :



Why not.

Vérification sur déclaratif et par les sous.



La Russie l’a bien imposé pour pas mal de données et toutes les grandes entreprises étrangères travaillant en Russie se mettent au diapason …. ça fait des projets migration : applications logicielles, données etc …



Il sera difficile de mettre un flic derrière chaque site web, mais pour les gros CA … ça me semble bien faisable.

Le plus important n’est pas tant un (petit) siteweb comme PCi, que ceux des entreprises qui génèrent un gros chiffre et … des impôts.

D’ailleurs, c’est déjà le cas.

Après tout, Facebook héberge les données des utilisateurs français dans un datacenter d’Aubervilliers.





En dehors de l’Europe? lol

En gros y a que les entreprises qui veut ce faire bien voir pas le gouvernement français qui va “respecter” cette loi, les autre c’est RAF.


votre avatar

Trop difficile à comprendre&nbsp; !

&nbsp;

votre avatar







MarcRees a écrit :



Tu es mexicain

Tu as un site.

Un Français s’y inscrit.

Il y a donc un traitement sur des données personnelles.

Tu es donc en infraction faute de serveur de stockage en Europe.







On pourra plus acheter KSP hors Steam en France <img data-src=" />


votre avatar







DUNplus a écrit :



En dehors de l’Europe? lol

En gros y a que les entreprises qui veut ce faire bien voir pas le gouvernement français qui va “respecter” cette loi, les autre c’est RAF.







Si la peine c’est blocage du site sur le territoire, le RAF peut rapidement se transformer en “pardon on le refera plus”. Il y a toujours moyen de contourner évidemment, mais ce n’est pas une raison de ne rien faire pour autant.


votre avatar

Ce sont justement ces entreprises qui ont intérêt à être bien perçues qui sont visées par cette loi <img data-src=" />

Celles pour lesquelles la France représente un CA significatif et qui, paradoxalement, sont facilement contrôlables car aisément repérable … donc surveillées.



Forcément, leur nombre se compte sur les deux mains et les deux pieds … mais l’argent “rapatrié” à lui tout seul avec ce petit nombre justifie que la loi s’applique à toutes celles qui n’auront même pas remarqué la présence d’un filet à papillon et continueront leur vie tranquille.

votre avatar

Beaucoup se méprennent sur le sens du “traitement automatisé”.

&nbsp;

Il ne faut pas comprendre qu’il s’agit d’analyse ou manipulation des données, via des algo fumeux ou des moulinettes endiablées dont le déclenchement est fait de façon programmée, il faut simplement comprendre qu’il s’agit de “systématisation” : toute ip qui passe par chez moi est inscrite dans un log, tout formulaire rempli par un visiteur est stocké en base de données, toute enquête de satisfaction papier à l’issue d’une formation est archivée… C’est ça, le “traitement automatisé”, et il ne faut donc pas se leurrer en pensant qu’il existe des données qui y échappent puisque du moment qu’elles sont stockées elles sont concernées.

votre avatar







numerid a écrit :



Trop difficile à comprendre&nbsp; !

&nbsp;





Cela interdit aussi de conserver des informations papiers. Par exemple, une douane hors Europe ne pourrait pas conserver une copie de ton passeport ou de ta carte d’identité”… Même si je suis très curieux de voir ce principe un jour appliqué à l’étranger ^^


votre avatar







Gundar a écrit :



legifrance.gouv.fr République Française





“Un traitement automatisé de données à caractère personnel s’entend de toute opération ou de tout ensemble ‎d’opérations, réalisés par des moyens automatiques”Du coup, c’est quoi un moyen automatique ?Sachant que si on est un peu concon, on peut très facilement considérer que tout logiciel est par essence “automatique”, donc que la moindre possession d’une donnée personnelle (un email ?) te demande d’avoir des serveurs en Europe.


votre avatar

Cf un peu plus haut, il faut comprendre que la donnée est systématiquement (“automatique” induisant en erreur mais permettant un champ d’application plus large). Son archivage, même si elle n’est pas lue et ne le sera peut-être jamais, est considéré comme du traitement automatisé.

votre avatar







Pochi a écrit :



“Un traitement automatisé de données à caractère personnel s’entend de toute opération ou de tout ensemble ‎d’opérations, réalisés par des moyens automatiques”Du coup, c’est quoi un moyen automatique ?Sachant que si on est un peu concon, on peut très facilement considérer que tout logiciel est par essence “automatique”, donc que la moindre possession d’une donnée personnelle (un email ?) te demande d’avoir des serveurs en Europe.







Pas besoin d’être concon, si un logiciel n’est pas du traitement automatique alors rien n’en est <img data-src=" />


votre avatar

La notion de traitement automatisé de données personnelle est tout sauf floue. Le traitement consiste en presque n’importe quelle utilisation des données, et la notion d’automatisation incorpore presque tout les comportements informatiques. En gros tout ce que tu fais entre le stockage et la publication de listes de résultats sur un moteur de recherche consiste en un traitement automatisé.



En plus la notion de donnée personnelle est très large afin d’offrir une bonne protection aux personnes.



La limitation en question est donc très étendue tant pour ceux qu’elle va toucher que les contraintes qu’elle va provoquer.

votre avatar

ben ils vont se gêner !!!!! mdrrrrrrrrrrrrrrrrrrr

votre avatar

Historiquement cela concerne tous les traitements informatiques. Mais tu peux noter tout ce que tu veux manuellement dans des carnets sans déclarer à la CNIL

votre avatar

Cloud Money restera un européen-français, na ! <img data-src=" />





<img data-src=" />





&nbsp;

votre avatar

Je trouve pas non plus que cette idée soit totalement déconnante.



Ça mériterait sûrement quelques ajustements pour ne pas viser le moindre site, mais bien ceux visés par l’esprit de la loi : les GAFA



Mais sur le principe, pour essayer d’empêcher la NSA et consorts de mettre leur nez dans nos données (et de les utiliser à des fins d’espionnage économique,entre autres), c’est pas si bête.



Après, faut pas se voiler la face, à la place, ça sera les services secrets du pays hébergeant le datacenter.

votre avatar







MarcRees a écrit :



Tu es mexicain

Tu as un site.

Un Français s’y inscrit.

Il y a donc un traitement sur des données personnelles.

Tu es donc en infraction faute de serveur de stockage en Europe.





Les chinois imposent bien des conditions pour les CDN afin de ne pas être sujet au “Great Firewall” par exemple. Et bizarrement là, tout le monde dit “oui, oui”… C’est juste une question de rapport de force.


votre avatar







1dimitri a écrit :



Les chinois imposent bien des conditions pour les CDN afin de ne pas être sujet au “Great Firewall” par exemple. Et bizarrement là, tout le monde dit “oui, oui”… C’est juste une question de rapport de force.





&nbsp;Sauf que sur un CDN on stocke pas le contenu de la page, sauf les images a la rigueur…


votre avatar

Je me connecte à un service Google, ça passe forcément par les serveurs US,

&nbsp;c’est donc illégal selon eux ? <img data-src=" />

votre avatar

Aujourd’hui Google rends hommage aux Shadocks

Les senateurs aussi !

votre avatar

Vu l’âge moyen des sénateurs c’est pas étonnant les textes qu’ils votent. Ils doivent être déjà trop vieux pour biter quelque choses au minitel alors internet c’est beaucoup trop pour eux…

On ferais bien de supprimer cette chambre de vieux con qui s’agrippent à leur place (ou alors interdire les sénateurs au dessus de 60 ans).

votre avatar

Exactement!

Les entreprises étudieront le rapport de force, ce que la justice française peut atteindre et quel sera l’impact en terme de bad buzz d’une amende qu’elles ne paieront pas avant de décider que c’est économiquement mieux de conserver leurs serveurs ailleurs dans la plupart des cas.



Après libre à toi de considérer qu’une censure à la chinoise d’internet est une politique judicieuse.

votre avatar







momal a écrit :



ils sont trop forts…

Quelqu’un leur a dit que c’etait pas des dossiers papiers dont on parle ?





Certains n’ont jamais touché un mulot de leur vie. Alors comprendre de quoi il s’agit… <img data-src=" />


votre avatar

ils sont trop forts…

Quelqu’un leur a dit que c’etait pas des dossiers papiers dont on parle ?

votre avatar

“Une obligation assez chimique”

Je n’ai pas appris la nature chimique des obligations, dans mes études de chimie.



Autrement je ne comprends pas la position de Marc : ca me semble plutôt aller dans le bon sens. on impose beaucoup, pour au final retirer un peu après negociaitions…

Bref les entreprises (au moins les grosses) vont installer des datacenters en Europe, ou louer de l’espace de stockage enEurope….

votre avatar







Drepanocytose a écrit :



Bref les entreprises (au moins les grosses) vont installer des datacenters en Europe, ou louer de l’espace de stockage enEurope….





ou en avoir rien a foutre et stocker leur datas à l’etranger


votre avatar

Tu es mexicain

Tu as un site.

Un Français s’y inscrit.

Il y a donc un traitement sur des données personnelles.

Tu es donc en infraction faute de serveur de stockage en Europe.

votre avatar







darkbeast a écrit :



ou en avoir rien a foutre et stocker leur datas à l’etranger





Et se prendre une putain de prune.

Quoi qu’on en pense, la France n’est un marché à negliger pour personne. Si l’état fait les gros yeux, tu transiges. Même si tu t’appelles Google, MS ou Apple.


votre avatar

C’est déjà le cas en Russie, “normalement” on ne peut stocker des données sur des utilisateurs que si l’on héberge ses serveurs en en Russie. Dans la pratique par contre… c’est rarement le cas.

votre avatar

Si le francais en question est localise en Europe.&nbsp;

Le delire est surtout dans l’interdiction de tous les transferts hors UE. &nbsp;Meme en Russie, tu peux avoir des transferts vers l’exterieur.&nbsp;

votre avatar







MarcRees a écrit :



Tu es mexicain

Tu as un site.

Un Français s’y inscrit.

Il y a donc un traitement sur des données personnelles.

Tu es donc en infraction faute de serveur de stockage en Europe.





Si tu fais du traitement automatisé de ces données. Ce qui reste à cadrer, c’est très flou.



Et comme tu le dis bien, le texte sera revu. Mais à mon sens, je le vois comme une tentative, peut être maladroite certes, de vouloir reprendre un peu le contrôle sur les données personnelles des gens. Ca va dans le bon sens, au moins ils se rendent compte de la valeur d’une donnée perso.

Ne pas jeter le bébé avec l’eau du bain.



Sinon, l’obligation, elle a quoi de “chimique” ? Chimérique, non ?.


votre avatar







Drepanocytose a écrit :



Et se prendre une putain de prune.

Quoi qu’on en pense, la France n’est un marché à negliger pour personne. Si l’état fait les gros yeux, tu transiges. Même si tu t’appelles Google, MS ou Apple.





si le ratio est benef&gt;prune comme dans bien des cas ben ils se prendront la prune


Les sénateurs interdisent le traitement des données françaises stockées hors Europe

  • Une obligation impossible à mettre en oeuvre

  • Les critiques du Gouvernement inaudibles

Fermer