Selon les informations obtenues auprès d’un des avocats d’une des parties, c’est le 6 octobre (et non le 9 comme indiqué préalablement) que la CJUE rendra un arrêt crucial. Il concerne l’obligation pour les intermédiaires techniques de conserver un an durant, de manière indifférenciée, l’ensemble des données de connexion dans le cadre des communications électroniques.
Parmi les affaires jugées ce même jour, l’une concerne la France, à la demande de La Quadrature du Net, FDN, la Fédération des fournisseurs d’accès à Internet associatifs et l’association Igwan.net. Toutes se sont attaquées aux décrets de la loi Renseignement. Les requérantes contestent la licéité de la conservation indifférenciée et généralisée des données de connexion.
Le Conseil d’État avait décidé à cette occasion de transmettre la problématique à la justice européenne, laquelle a déjà considéré que cette conservation devait être encadrée sérieusement et surtout limitée à la lutte contre les infractions graves.
En janvier dernier, l’avocat général de la CJUE a épinglé une nouvelle fois la contrariété de cette pratique avec le droit européen, non sans nuancer sa réponse.
Commentaires (7)
#1
Et il serait temps !
Parce que je ne sais pas les autres, mais moi qui garde les logs pendant un an, je serre les fesses sur une éventuelle requête RGPD qui m’obligerait à les nettoyer…
Vivement que la durée de conservation baisse et qu’on soit plus tranquille.
#1.1
Mon point de vue est :
Le droit à l’effacement n’est pas absolu, si tu as l’obligation légale de garder les données, tu n’as pas le droit de les supprimer parce qu’un utilisateur te le demande. Par contre tu n’as pas le droit de les garder plus longtemps que la durée minimum légale (qui du coup devient aussi la durée maximum grâce au RGPD).
#2
Tiens du coup, si un utilisateur te demande d’effacer ses données personnelles , tu fais quoi :
Est-ce que garder la trace d’une demande d’effacement de donnée personnelle est, en soit, une donnée personnelle susceptible d’effacement à la demande?
#3
Moins de propriétaires de bars en gàv du coup ?
#4
Non, dans certains cas tu peux ne pas effacer les données. Par exemple, essaye de demander au fisc d’effacer tes données …
le droit à l’effacement ne s’applique pas (art. 17 RGPD):
a) à l’exercice du droit à la liberté d’expression et d’information;
b) pour respecter une obligation légale qui requiert le traitement prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;
c) pour des motifs d’intérêt public dans le domaine de la santé publique, conformément à l’article 9, paragraphe 2, points h) et i), ainsi qu’à l’article 9, paragraphe 3;
d) à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l’article 89, paragraphe 1, dans la mesure où le droit visé au paragraphe 1 est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement; ou
e) à la constatation, à l’exercice ou à la défense de droits en justice.
#5
Et sinon, le RGPD ne s’applique pas -à la louche- aux fichiers de police ^^
#6
Alors je viens de lire des erreurs. Déjà la cnil impose une durée de conservation des logs de connexion de 6 mois pas un an.
Un an concerne les données de connexion liées au code des postes et des télécoms
https://www.cnil.fr/fr/securite-tracer-les-acces-et-gerer-les-incidents
Ensuite il ne faut pas confondre effacement et suppression !
L’effacement concerne le fait de ne plus utiliser les données pour les traitements pour lesquels elles ont été collectées. (Bien entendu inapplicable dans le cadre de l’utilisation de vos données pour des traitements règlementaire tels que impôt, urssaf, police etc… si tant est qu’une obligation légale y soit associée ou dans le cadre de la sûreté de l’état par exemple les fiches s)
@ Totoxoros, vous ne pouvez garder les données un an et sauf dans le cadre d’une réquisition.
@OB oui si la durée est dépassée tu dois les effacer et la police n’aura rien et il sera innocenté, c’est la loi !
C’est la même chose que les images de vidéo surveillance ne peuvent être conservées que 30 jours et les données des entrées sorties par badge 3 mois !
Vous devez en outre avoir informé vos collaborateurs, inscrit ce traitement à votre registre et effectuer une étude d’impact sur la vie privée (personne vulnérable et surveillance systématique)
Le RGPD, ne l’oubliez pas, vous protège également dans votre vie de salarié et votre vie en dehors de votre activité.
Voilà
A votre disposition
Martial
Consultant et formateur RGPD et DPO externe depuis 10 ans