À quelques encablures de la présidentielle, la CNIL dévoile son plan d’action pour la présidentielle. Et pour cause, « le respect des règles en matière de protection des données est devenu une question centrale dans le processus électoral et, plus généralement, dans la vie démocratique ».
La CNIL indique avoir adressé « une série de courriers aux partis politiques et candidats qui se sont officiellement déclarés afin de les sensibiliser aux enjeux de la protection des données sur les bonnes pratiques à respecter ». Elle a par ailleurs mis en ligne un formulaire permettant aux électeurs de signaler des pratiques qui seraient peu respectueuses du règlement général sur la protection des données à caractère personnel.
Cette plateforme permettra d’infliger des sanctions ou d’adresser des mises en demeure aux candidats indélicats. La CNIL promet d’ores et déjà de dresser un bilan des actions qui seront menées.
Commentaires (10)
#1
On peut donc signaler tous les candidats qui hébergent les données personnelles aux USA et tous ceux qui utilisent Google Analyitcs puisque l’invalidation du Privacy Shield les rend non conformes au RGPD comme la CNIL elle-même nous l’a indiqué récemment ?
Ça risque d’être amusant.
On peut commencer par Zemmour vu la brève d’hier, mais d’autre sont probablement concernés.
#1.1
Comme ça, on aura une mise en demeure 2 ans plus tard.
#2
Il y a ca sur le site de Zemmour :
A voir, mais effectivement la question va être intéressante.
#2.1
Tu parles du site du parti https://www.parti-reconquete.fr/, moi, je parlais du site de la présidentielle https://www.zemmour2022.fr/.
Et sa page politique de confidentialité est assez différente et n’aborde pas la localisation du stockage des données personnelles.
Mais en fait, les 2 sites sont hébergées par NationBuilder et si l’on creuse en regardant les IP chez cloudflare aux USA.
Avec la position très récente de la CNIL sur Google Analytics, je pense que ce qu’ils écrivent devient faux. Parce qu’ils ne pouvaient être conformes au RGPD que grâce aux clauses contractuelles types et que la CNIL dit (comme d’autres) qu’elle ne peuvent pas être utilisées avec les USA puisque les raisons qui ont fait invalider le Privacy Shield (la loi des USA) l’emportent sur ces clauses contractuelles.
#2.2
ca commence fort avec l’obligation de fournir une copie de la pièce d’identité… Est on seulement certain de l’effacement de cette dernière après levée de doute?
https://www.cnil.fr/fr/cnil-direct/question/exercice-de-mes-droits-informatique-et-libertes-dois-je-fournir-obligatoirement
#3
Ça comprend aussi les vidéos YouTube ?
#4
Oui… mais non. Google Analytics, invalidation du Privacy Shield et non-conformité au RGPD sont 3 choses différentes.
Je peux faire un site qui collecte les identités de ressortissant EU, les stocker sur Amazon, utiliser Google Analytics… et être conforme au RGPD. L’invalidation du Privacy Shield m’oblige seulement à prendre des mesures supplémentaires ( qui sont d’ailleurs listées par la CNIL )
#4.1
Tu me sors un document de juin 2021 alors que je parle de décision de la CNIL de ce moi-ci. En plus, ce document fait 48 pages et tu ne précises pas quels points d’après toi infirment ce que je dis.
Néanmoins, on y lit :
Contractual and organisational measures alone will generally not overcome access to personal data by public authorities of the third country based on problematic legislation and/or practices.
C’est le problème que je soulevais en citant la récente décision de la CNIL pour Google Analytics.
On voit qu’une mesure pour s’en protéger est :
Format of the data to be transferred (i.e. in plain text/pseudonymised or encrypted);
Le chiffrement est pour moi la seule solution pour protéger les données du gouvernement des USA mais à condition que la clé permettant le déchiffrement ne soit pas accessible à ce gouvernement et qu’elle soit donc stockée et utilisée en dehors des USA (a minima, il reste à étudier le Cloud Act, mais ça pourrait probablement passer puisqu’il faut l’intervention d’un juge pour le mettre en œuvre).
Dans le cas qui nous intéresse, comme c’est tout le site qui est hébergé aux USA et pas seulement les données, le chiffrement n’est pas une solution suffisamment protectrice pour respecter le RGPD.
L’annexe 2 va dans mon sens, aucun des 5 cas décrivant une mesure efficace n’est applicable à un site de campagne traitant des données personnelles aux USA et les autres cas, le 6 en particulier ne correspondent pas à des mesures a priori efficaces.
En fait, si on lit attentivement le document que tu as fourni (je ne l’ai pas lu en entier, mais j’ai lu a priori les parties importantes sur le sujet), on voit que les décisions de la CNIL française et de je ne sais plus laquelle autre étaient déjà écrites dans ce document : aux USA, on ne peut pas avoir des données personnelles en clair (même seulement au moment du traitement) parce que le gouvernement peut y avoir accès. Il peut aussi avoir accès à la clé de déchiffrement, c’est écrit explicitement.
Donc, Google Analytics quand il n’est pas utilisé avec pseudonymisation des données n’est pas utilisable parce que non conforme au RGPD pour les mêmes raisons que l’invalidation du Privacy Shield.
Un site hébergé aux USA traitant des données personnelles de ressortissants de l’EEA n’est aps conforme au RGDP encore une fois pour les mêmes raisons que l’invalidation du Privacy Sheld.
Par contre, tu peux effectivement faire un site dans un pays compatible avec le RGPD (donc hors USA), stocker tes données personnelles chiffrées aux USA chez Amazon sans que la clé de déchiffrement soit accessible par le gouvernement des USA et tu peux (probablement) utiliser Google Analytics en le paramétrant pour pseudonymiser les données transmises à Google. C’est quand même assez restreint.
Je veux bien que tu infirmes certains points que j’exprime ici, comme je n’ai pas tout lu, j’ai peut-être raté des points mais précise par des citations ou des références les parties du document qui vont dans ton sens.
#5
J’avoue que j’ai un léger biais. Je bosse dans le médical donc les “sécurités suplémentaires” de la CNIL sont pour moi le strict minimum à faire, même hébergé sur un cloud EU qui est compatible RGPD.
#6
La délation, sport où excèlent des Français.