Connexion
Abonnez-vous

Présidentielle 2022 : un formulaire CNIL pour signaler les violations RGPD

Présidentielle 2022 : un formulaire CNIL pour signaler les violations RGPD

Le 16 février 2022 à 09h41

À quelques encablures de la présidentielle, la CNIL dévoile son plan d’action pour la présidentielle. Et pour cause, « le respect des règles en matière de protection des données est devenu une question centrale dans le processus électoral et, plus généralement, dans la vie démocratique ». 

La CNIL indique avoir adressé « une série de courriers aux partis politiques et candidats qui se sont officiellement déclarés afin de les sensibiliser aux enjeux de la protection des données sur les bonnes pratiques à respecter ». Elle a par ailleurs mis en ligne un formulaire permettant aux électeurs de signaler des pratiques qui seraient peu respectueuses du règlement général sur la protection des données à caractère personnel. 

Cette plateforme permettra d’infliger des sanctions ou d’adresser des mises en demeure aux candidats indélicats. La CNIL promet d’ores et déjà de dresser un bilan des actions qui seront menées.

Le 16 février 2022 à 09h41

Commentaires (10)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

On peut donc signaler tous les candidats qui hébergent les données personnelles aux USA et tous ceux qui utilisent Google Analyitcs puisque l’invalidation du Privacy Shield les rend non conformes au RGPD comme la CNIL elle-même nous l’a indiqué récemment ?
Ça risque d’être amusant.



On peut commencer par Zemmour vu la brève d’hier, mais d’autre sont probablement concernés.

votre avatar

Comme ça, on aura une mise en demeure 2 ans plus tard. :D

votre avatar

fred42 a dit:


On peut donc signaler tous les candidats qui hébergent les données personnelles


Il y a ca sur le site de Zemmour :




(1) Les informations que vous nous communiquez sont exclusivement réservées à l’usage de RECONQUÊTE! et de son association de financement. Vous consentez à ce qu’elles soient utilisées pour des opérations de communications politiques, pour la gestion de vos adhésions et dons et de nos relations. Vos données ne pourront être communiquées qu’à des cocontractants qui, en leur qualité de sous-traitants, n’agiront que sur notre instruction et seront soumis à une stricte obligation de confidentialité. Elles ne seront transférées que dans des pays présentant une protection adéquate au regard des garanties imposées par la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Vos données seront conservées pour une durée maximale de 56 mois. En application de la loi n° 78-17 du 6 janvier 1978 et du Règlement Général sur la Protection des Données (RGPD, règlement (UE) 2016679 du 27 avril 2016), vous bénéficiez d’un droit d’accès, de rectification, de suppression, d’opposition, de limitation et de portabilité des informations vous concernant.
Pour exercer vos droits, vous pouvez adresser un courriel à [email protected] ou un courrier à RECONQUÊTE! 10 rue Jean Goujon 75008 . Votre demande doit être accompagnée de la photocopie d’un titre d’identité comportant votre signature.
Vous avez également la possibilité de contacter notre Délégué à la Protection des Données (DPO) en lui écrivant à [email protected].
Si vous considérez que le traitement de données à caractère personnel vous concernant constitue une violation du Règlement Général sur la Protection des Données, vous pouvez introduire une réclamation auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL).


A voir, mais effectivement la question va être intéressante.

votre avatar

Tu parles du site du parti https://www.parti-reconquete.fr/, moi, je parlais du site de la présidentielle https://www.zemmour2022.fr/.



Et sa page politique de confidentialité est assez différente et n’aborde pas la localisation du stockage des données personnelles.
Mais en fait, les 2 sites sont hébergées par NationBuilder et si l’on creuse en regardant les IP chez cloudflare aux USA.
Avec la position très récente de la CNIL sur Google Analytics, je pense que ce qu’ils écrivent devient faux. Parce qu’ils ne pouvaient être conformes au RGPD que grâce aux clauses contractuelles types et que la CNIL dit (comme d’autres) qu’elle ne peuvent pas être utilisées avec les USA puisque les raisons qui ont fait invalider le Privacy Shield (la loi des USA) l’emportent sur ces clauses contractuelles.

votre avatar

ca commence fort avec l’obligation de fournir une copie de la pièce d’identité… Est on seulement certain de l’effacement de cette dernière après levée de doute?



https://www.cnil.fr/fr/cnil-direct/question/exercice-de-mes-droits-informatique-et-libertes-dois-je-fournir-obligatoirement

votre avatar

Ça comprend aussi les vidéos YouTube ? :D

votre avatar

fred42 a dit:


On peut donc signaler tous les candidats qui hébergent les données personnelles aux USA et tous ceux qui utilisent Google Analyitcs puisque l’invalidation du Privacy Shield les rend non conformes au RGPD comme la CNIL elle-même nous l’a indiqué récemment ? Ça risque d’être amusant.


Oui… mais non. Google Analytics, invalidation du Privacy Shield et non-conformité au RGPD sont 3 choses différentes.



Je peux faire un site qui collecte les identités de ressortissant EU, les stocker sur Amazon, utiliser Google Analytics… et être conforme au RGPD. L’invalidation du Privacy Shield m’oblige seulement à prendre des mesures supplémentaires ( qui sont d’ailleurs listées par la CNIL )

votre avatar

Tu me sors un document de juin 2021 alors que je parle de décision de la CNIL de ce moi-ci. En plus, ce document fait 48 pages et tu ne précises pas quels points d’après toi infirment ce que je dis.
Néanmoins, on y lit :
Contractual and organisational measures alone will generally not overcome access to personal data by public authorities of the third country based on problematic legislation and/or practices.
C’est le problème que je soulevais en citant la récente décision de la CNIL pour Google Analytics.
On voit qu’une mesure pour s’en protéger est :
Format of the data to be transferred (i.e. in plain text/pseudonymised or encrypted);
Le chiffrement est pour moi la seule solution pour protéger les données du gouvernement des USA mais à condition que la clé permettant le déchiffrement ne soit pas accessible à ce gouvernement et qu’elle soit donc stockée et utilisée en dehors des USA (a minima, il reste à étudier le Cloud Act, mais ça pourrait probablement passer puisqu’il faut l’intervention d’un juge pour le mettre en œuvre).
Dans le cas qui nous intéresse, comme c’est tout le site qui est hébergé aux USA et pas seulement les données, le chiffrement n’est pas une solution suffisamment protectrice pour respecter le RGPD.
L’annexe 2 va dans mon sens, aucun des 5 cas décrivant une mesure efficace n’est applicable à un site de campagne traitant des données personnelles aux USA et les autres cas, le 6 en particulier ne correspondent pas à des mesures a priori efficaces.
En fait, si on lit attentivement le document que tu as fourni (je ne l’ai pas lu en entier, mais j’ai lu a priori les parties importantes sur le sujet), on voit que les décisions de la CNIL française et de je ne sais plus laquelle autre étaient déjà écrites dans ce document : aux USA, on ne peut pas avoir des données personnelles en clair (même seulement au moment du traitement) parce que le gouvernement peut y avoir accès. Il peut aussi avoir accès à la clé de déchiffrement, c’est écrit explicitement.



Donc, Google Analytics quand il n’est pas utilisé avec pseudonymisation des données n’est pas utilisable parce que non conforme au RGPD pour les mêmes raisons que l’invalidation du Privacy Shield.
Un site hébergé aux USA traitant des données personnelles de ressortissants de l’EEA n’est aps conforme au RGDP encore une fois pour les mêmes raisons que l’invalidation du Privacy Sheld.



Par contre, tu peux effectivement faire un site dans un pays compatible avec le RGPD (donc hors USA), stocker tes données personnelles chiffrées aux USA chez Amazon sans que la clé de déchiffrement soit accessible par le gouvernement des USA et tu peux (probablement) utiliser Google Analytics en le paramétrant pour pseudonymiser les données transmises à Google. C’est quand même assez restreint.



Je veux bien que tu infirmes certains points que j’exprime ici, comme je n’ai pas tout lu, j’ai peut-être raté des points mais précise par des citations ou des références les parties du document qui vont dans ton sens.

votre avatar

fred42 a dit:


Par contre, tu peux effectivement faire un site dans un pays compatible avec le RGPD (donc hors USA), stocker tes données personnelles chiffrées aux USA chez Amazon sans que la clé de déchiffrement soit accessible par le gouvernement des USA et tu peux (probablement) utiliser Google Analytics en le paramétrant pour pseudonymiser les données transmises à Google. C’est quand même assez restreint.


J’avoue que j’ai un léger biais. Je bosse dans le médical donc les “sécurités suplémentaires” de la CNIL sont pour moi le strict minimum à faire, même hébergé sur un cloud EU qui est compatible RGPD.

votre avatar

La délation, sport où excèlent des Français.

Présidentielle 2022 : un formulaire CNIL pour signaler les violations RGPD

Fermer