Connexion
Abonnez-vous

Covid-19 : usage des données des abonnés par les opérateurs, les points cardinaux de la CNIL

Covid-19 : usage des données des abonnés par les opérateurs, les points cardinaux de la CNIL

Le 27 mars 2020 à 08h41

Questionnée sur l'usage des données par les opérateurs et leur éventuelle communication aux autorités pour lutter contre la pandémie de Covid-19, la CNIL nous a adressé ses principales recommandations. Elles diffèrent selon les scénarios de traitements portant sur les données de localisation.

« Le cadre juridique actuel, en particulier le RGPD et la directive ePrivacy (applicable au recueil de données de localisation dans le cadre de communications électroniques), permet, selon certaines modalités, de traiter de telles données notamment de manière anonymisée (suffisamment agrégée) ou avec le consentement des personnes ».

Ce même cadre juridique « permet aux États d’aller plus loin et de déroger, par la loi, à cette exigence d’anonymisation ou de consentement, sous certaines conditions ». L’autorité considère que « pour limiter l’impact sur les personnes, il conviendrait donc de privilégier le traitement de données anonymisées et non de données individuelles, lorsque cela permet de satisfaire l’objectif ». 

Si un suivi individuel est malgré tout nécessaire, « [il] devrait reposer sur une démarche volontaire de la personne concernée. C’est d’ailleurs le cas pour certaines applications de « contact tracing » existantes ».

En outre, « si la France souhaitait prévoir des modalités de suivi non anonymes plus poussées, le cas échéant sans le consentement préalable de l’ensemble des personnes concernées, une intervention législative s’imposerait. Il faudrait alors s’assurer que ces mesures législatives dérogatoires soient dûment justifiées et proportionnées (par exemple en termes de durée et de portée) ».

Quel que soit le scénario, elle a défini plusieurs principes cardinaux qui doivent guider les pouvoirs publics :

  • « Définir objectivement et précisément les objectifs poursuivis par tout dispositif de localisation des personnes notamment avec le milieu scientifique, afin de permettre d’en garantir non seulement la proportionnalité au regard du RGPD ou de la directive ePrivacy, mais aussi l’efficacité »
  • « Respecter les principes fondamentaux posés par la loi « Informatique et Libertés » et les textes européens, qui sont des gages de confiance pour les personnes par rapport aux mesures qui pourraient être prises » 

Ce dernier principe conduit à « veiller à éviter toute collecte excessive d’informations sensibles, et identifier pour chaque besoin les technologies les moins intrusives ; informer les personnes sur les dispositifs mis en œuvre et faire preuve de transparence ; éviter tout détournement d’usages en prenant les mesures de sécurité appropriées ; ne pas pérenniser des mesures extraordinaires au-delà de la période de crise ».

La CNIL prévient aussi que dès la fin de la crise, « elle veillera à ce que les dispositifs exceptionnels qui auraient été, le cas échéant, mis en œuvre soient sans conséquence pour les personnes concernées (destruction des données, etc.) et ne soient pas pérennisés ».

Le 27 mars 2020 à 08h41

Commentaires (15)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

Malheureusement, vu comme la CNIL est écoutée et considérée par le gouvernement…

votre avatar

La collecte et l’exploitation des données anonymes a commencé:

lemonde.fr Le Monde



Cela ne concerne que les clients d’Orange pour l’instant et voir un changement de région sur un jeux de données ce n’est pas le plus intrusif.

votre avatar







Furanku a écrit :



Malheureusement, vu comme la CNIL est écoutée et considérée par le gouvernement…







Quelle importance ? Elle est en train de se débiner.



Je traduis :





« Le cadre juridique actuel, en particulier le RGPD et la directive ePrivacy (applicable au recueil de données de localisation dans le cadre de communications électroniques), permet, selon certaines modalités, de traiter de telles données notamment de manière anonymisée (suffisamment agrégée) ou avec le consentement des personnes ».



“On vient de découvrir que les gouvernements peuvent se torcher le cul avec le RGPD si ça leur chante et quand ça leur chante.





L’autorité considère que « pour limiter l’impact sur les personnes, il conviendrait donc de privilégier le traitement de données anonymisées et non de données individuelles, lorsque cela permet de satisfaire l’objectif ».



Du coup nous à la CNIL on pense que ce serait gentil de leur part s’ils pouvaient espionner leurs concitoyens de manière anonyme.



Non ils veulent pas ?”





Si un suivi individuel est malgré tout nécessaire, « [il] devrait reposer sur une démarche volontaire de la personne concernée. C’est d’ailleurs le cas pour certaines applications de « contact tracing » existantes ».



Bon…bah puis s’ils ne veulent pas ce serait quand même gentil qu’ils obtiennent au moins le consentement des espionnés.



non ? Ils veulent pas non plus ? Ah, ok…





En outre, « si la France souhaitait prévoir des modalités de suivi non anonymes plus poussées, le cas échéant sans le consentement préalable de l’ensemble des personnes concernées, une intervention législative s’imposerait. Il faudrait alors s’assurer que ces mesures législatives dérogatoires soient dûment justifiées et proportionnées (par exemple en termes de durée et de portée) ».



Mais heu…ils veulent espionner jusqu’à quel niveau d’indiscrétion ? Parce que dans ce cas il faudrait quand même faire voter des lois pour que ça soit autorisé, pas vrai ?

Quoi ? Que me dit-on dans mon oreillette ? “On fait ce qu’on veut et on t’emmerde” ?

D’accord, au temps pour moi ^^’ “


votre avatar

Bon, ma décision est prise, je résilie de suite mon forfait “principal”, je garde le second pour l’instant mais il restera éteint sauf urgence absolue. Renoncer au net en déplacement (si on nous laisse ressortir un jour) va être dur mais si la vie privée est à ce prix, ben il en sera ainsi. Retour au bon vieux fixe



Et bien sur je passe désormais tout trafic internet au minimum par un vpn

votre avatar







Furanku a écrit :



Malheureusement, vu comme la CNIL est écoutée et considérée par le gouvernement…





Sa présidence est directement désignée par l’exécutif, à partir de là et depuis son origine elle n’a par définition aucune indépendance avec le dit exécutif.



Donc lorsqu elle annonce qu’elle contrôlera l’Etat, on peut juste regretter de ne pas être en période de canicule pour au moins profiter du brassage d’air.


votre avatar

Que proposes-tu pour qu’elle soit réelement indépendante??

votre avatar

Le président du Conseil Constitutionnel est aussi nommé par le Président de la République. En conclus-tu qu’il n’a aussi aucune indépendance vis-à-vis de l’exécutif ? J’attends aussi ta réponse à Soriatane.

votre avatar
votre avatar

fondamentalement contre le tracking, je crains qu on ait malheusement pas le choix:



Ce papier propose une belle (mais longue) analyse sur comment sortir du confinement:

&nbsphttps://medium.com/@tomaspueyo/coronavirus-the-hammer-and-the-dance-be9337092b56

->  le marteau actuel pendant qques semaines pour fortement diminuer l inpact, puis la danse des restrictions futures plus légères sur plusieurs mois/

Mais tout cela n est possible qu’en testant massivement et surtout avec un tracking poussé, ce que la Corée du Sud et Singapour ont su appliquer rapidement.



 Sans tracking, il sera très difficile de sortir du confinement!

On est pas sorti de l auberge…

votre avatar







fred42 a écrit :



Le président du Conseil Constitutionnel est aussi nommé par le Président de la République. En conclus-tu qu’il n’a aussi aucune indépendance vis-à-vis de l’exécutif ? J’attends aussi ta réponse à Soriatane.





Précisément, le mode de désignation de ses membres est critiqué depuis des lustres, néanmoins, le fait que le renouvellement soit par tranche et avec une répartition entre les différents pouvoirs (surtout le Parlementaire) permet d’avoir un certain équilibre (à mon avis insuffisant, plus largement la séparation des pouvoirs n’est pas correctement assurée sous la 5° mais c’est un autre débat).



A l’inverse, outre une présidence assurée par une personnalité désignée par le PR, les AAI ont généralement une formation restreinte majoritairement composée de très haut fonctionnaires. Donc les AAI n’ont d’indépendant que le nom vis à vis de l’exécutif (tu noteras que c’est particulièrement le cas de la formation restreinte actuelle de la CNIL).


votre avatar







Soriatane a écrit :



Que proposes-tu pour qu’elle soit réelement indépendante??





Alors je suis un peu nazi sur la problématique de la séparation des pouvoirs: que les AAI soient en mesure d’éditer des recommandations et bonnes pratiques, de même pour recueillir les plaintes ou enquêter no problemo, c’est même plutôt une bonne chose car elles peuvent avoir une expertise spécifique et faciliter la coordination au niveau européen.



En revanche, le rubicon a été franchi à partir du jour où on en a fait des Juridictions en prétendant fractionner leurs collèges; en collège général d’un coté et formation restreinte de l’autre (d’ailleurs s’agissant de la CNIL il a fallu une sanction de cette AAI pour qu’enfin une séparation existe au moins formellement entre organe de poursuite et organe juridictionnel…) : en réalité elles édictent les recommandations et bonnes pratiques d’un coté, et sanctionnent de l’autre en se fondant sur les règles qu’elles édictent, les AAI sont donc structurellement juges et “législateurs”.



On ne tolérait pas que le Parlement soit juge, et inversement, pourtant on prétend le faire pour les AAI, c’est une erreur fondamentale, qui d’ailleurs pose de sérieuse difficulté avec le non bis in idem.


votre avatar







crocodudule a écrit :



On ne tolérait pas que le Parlement soit juge, et inversement, pourtant on prétend le faire pour les AAI, c’est une erreur fondamentale, qui d’ailleurs pose de sérieuse difficulté avec le non bis in idem. 





difficulté avec le quoi ??


votre avatar







Soriatane a écrit :



difficulté avec le quoi ??





Principe qui veut que l’on ne peut pas “juger” deux fois les mêmes faits (je rentre pas dans le détail, car la notion est plus complexe que l’on pourrait le croire).



Pour avoir une illustration de mon propos sur comment une AAI peut se trouver paralysée par l’existence de poursuites antérieures:

lemonde.fr Le Monde


votre avatar

niveau tipiakage pendant ce confinement,

est-ce que l’hadopi peut nous ventiler les données entre p2p, ddl et streaming ?

et surtout balancer les sites bloqués ?

votre avatar

Ok.

Merci pour tes explications

Covid-19 : usage des données des abonnés par les opérateurs, les points cardinaux de la CNIL

Fermer