Les sénateurs interdisent le traitement des données françaises stockées hors Europe

Les sénateurs interdisent le traitement des données françaises stockées hors Europe

Safe Shield

Avatar de l'auteur
Marc Rees

Publié dans

Droit

29/04/2016 3 minutes
45

Les sénateurs interdisent le traitement des données françaises stockées hors Europe

Les votes s’enchaînent au Sénat. Dans le cadre du projet de loi sur le numérique, un article adopté veut obliger les acteurs, notamment en ligne, à stocker les données personnelles des Français en Europe, du moins s'ils veulent effectuer sur leur dos des traitements automatisés. Une disposition qui interdit également tout transfert hors UE.

La disposition en cause est simple, mais explosive voire délirante. Elle impose à tous les acteurs, qu’ils soient du numérique ou non, de stocker sur des serveurs installés en Europe les traitements de données personnelles concernant les Français. Une obligation assez chimique puisqu’il n’est pas toujours évident de déceler la nationalité d’une donnée personnelle… De plus comment imposer une telle règle à l'ensemble des sites de la planète ?

Juridiquement, elle enrichit d’un petit complément la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Il concerne la section 1 de cette loi, relative aux dispositions générales des traitements de données à caractère personnel. En substance, voilà sa rédaction adoptée par les sénateurs :

« Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes : [ces données] sont stockées dans un centre de données situé sur le territoire de l’un des États membres de l’Union européenne, et, sans préjudice des engagements internationaux de la France et de l’Union européenne, ne peuvent faire l’objet d’aucun transfert vers un État tiers. »

Une obligation impossible à mettre en oeuvre

Pour les sénateurs du Groupe communiste républicain et citoyen, « Il s’agit (…) de s’assurer ainsi de l’applicabilité des dispositions législatives prises au niveau européen, en matière de protection des données personnelles. L’annulation du Safe Harbor par la Cour de Justice de l’Union européenne rend d’autant plus critique cette disposition. »

L’annulation du Safe Harbor a théoriquement fermé le robinet principal du transfert des données de l’Europe vers les États-Unis compte tenu du manque de garanties et de l’appétit des services de la NSA. Seul hic, le Privacy Shield, son remplaçant, a lui fait lui aussi objet de critiques venues des autorités de contrôle européennes réunies au sein du G29.

Les critiques du Gouvernement inaudibles

Le vote de cet article à une belle majorité n’a fait que peu de cas des remarques d’Axelle Lemaire. La secrétaire d’État au numérique a vainement estimé que cette disposition n’était « pas souhaitable », expliquant en outre que la problématique première est celle de la sécurisation des flux vers les États-Unis et les autres États tiers à l’Europe. En outre, ce sujet devrait avant tout être débattu dans le cadre des négociations européennes.

En appui de cette obligation de centralisation, l’article interdit en plus le transfert de n'importe quelle donnée personnelle vers un État tiers. Soit l'installation d'une frontière numérique dans le périmètre de toute l'Europe. Naturellement, peu de chance que l’article soit maintenu dans le texte définitif.

45

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Une obligation impossible à mettre en oeuvre

Les critiques du Gouvernement inaudibles

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (45)


ils sont trop forts…

Quelqu’un leur a dit que c’etait pas des dossiers papiers dont on parle ?


“Une obligation assez chimique”

Je n’ai pas appris la nature chimique des obligations, dans mes études de chimie.



Autrement je ne comprends pas la position de Marc : ca me semble plutôt aller dans le bon sens. on impose beaucoup, pour au final retirer un peu après negociaitions…

Bref les entreprises (au moins les grosses) vont installer des datacenters en Europe, ou louer de l’espace de stockage enEurope….








Drepanocytose a écrit :



Bref les entreprises (au moins les grosses) vont installer des datacenters en Europe, ou louer de l’espace de stockage enEurope….





ou en avoir rien a foutre et stocker leur datas à l’etranger



Tu es mexicain

Tu as un site.

Un Français s’y inscrit.

Il y a donc un traitement sur des données personnelles.

Tu es donc en infraction faute de serveur de stockage en Europe.








darkbeast a écrit :



ou en avoir rien a foutre et stocker leur datas à l’etranger





Et se prendre une putain de prune.

Quoi qu’on en pense, la France n’est un marché à negliger pour personne. Si l’état fait les gros yeux, tu transiges. Même si tu t’appelles Google, MS ou Apple.



C’est déjà le cas en Russie, “normalement” on ne peut stocker des données sur des utilisateurs que si l’on héberge ses serveurs en en Russie. Dans la pratique par contre… c’est rarement le cas.


Si le francais en question est localise en Europe. 

Le delire est surtout dans l’interdiction de tous les transferts hors UE.  Meme en Russie, tu peux avoir des transferts vers l’exterieur. 








MarcRees a écrit :



Tu es mexicain

Tu as un site.

Un Français s’y inscrit.

Il y a donc un traitement sur des données personnelles.

Tu es donc en infraction faute de serveur de stockage en Europe.





Si tu fais du traitement automatisé de ces données. Ce qui reste à cadrer, c’est très flou.



Et comme tu le dis bien, le texte sera revu. Mais à mon sens, je le vois comme une tentative, peut être maladroite certes, de vouloir reprendre un peu le contrôle sur les données personnelles des gens. Ca va dans le bon sens, au moins ils se rendent compte de la valeur d’une donnée perso.

Ne pas jeter le bébé avec l’eau du bain.



Sinon, l’obligation, elle a quoi de “chimique” ? Chimérique, non ?.









Drepanocytose a écrit :



Et se prendre une putain de prune.

Quoi qu’on en pense, la France n’est un marché à negliger pour personne. Si l’état fait les gros yeux, tu transiges. Même si tu t’appelles Google, MS ou Apple.





si le ratio est benef>prune comme dans bien des cas ben ils se prendront la prune









MarcRees a écrit :



Tu es mexicain



Tu as un site.      

Un Français s'y inscrit.

Il y a donc un traitement sur des données personnelles.

Tu es donc en infraction faute de serveur de stockage en Europe.







Et en limitant les cookies (ce serait déjà plus raisonnable). Laisser passer quelques données ne devraient pas être gênant pour la vie privée



C’est déjà define ça.


Je suis curieux de connaître la définition juridique de “traitement automatique”


Toute donnée qui transite par le firewall d’Open Office








DarkMoS a écrit :



Toute donnée qui transite par le firewall d’Open Office





Mde, j’utilise maintenant Libre Office&nbsp;<img data-src=" /> <img data-src=" />



Et ils compte le vérifier par quel moyen??








Pochi a écrit :



Je suis curieux de connaître la définition juridique de “traitement automatique”







https://www.legifrance.gouv.fr/Droit-francais/Guide-de-legistique/V.-Schemas-log…



Comme pour beaucoup de loi : si le délie est constaté -&gt; jugement -&gt; peine.

Ce n’est pas parce qu’il y a une loi contre le meurtre qu’on a tous une sonde dans le cul pour nous empêcher de le faire <img data-src=" />



Ca vise déjà les plus gros comme Facebook, Google, Amazon etc. Il est sûr et certains qu’ils font du traitement automatisé.








MarcRees a écrit :



Tu es mexicain

Tu as un site.

Un Français s’y inscrit.

Il y a donc un traitement sur des données personnelles.

Tu es donc en infraction faute de serveur de stockage en Europe.



Le mexicain qui a sa boîte au Mexique n’est pas soumis à la loi française, donc il n’est pas en infraction.

En revanche, &nbsp;le jour où il ouvre une filiale en France, là il faudra qu’il ait ses serveurs en Europe.

&nbsp;



Why not.

Vérification sur déclaratif et par contrôle aléatoire ou dénonciation … au pire.



La Russie l’a bien imposé pour pas mal de données et toutes les grandes entreprises étrangères travaillant en Russie se mettent au diapason …. ça fait des projets migration : applications logicielles, données etc …



Il sera difficile de mettre un flic derrière chaque site web, mais pour les gros CA … ça me semble bien faisable.

Le plus important n’est pas tant un (petit) siteweb comme PCi, que ceux des entreprises qui génèrent un gros chiffre et … des impôts.

Cette mesure n’a que fiche des petits poissons.

D’ailleurs, c’est déjà le cas en partie.

Après tout, Facebook héberge les données des utilisateurs français dans un datacenter d’Aubervilliers.





En sus … laisser les données en France réduira la balance de compensation entre les opérateurs télécoms en faveur des français. Pour le moment, c’est disproportionnément les US qui sont vainqueurs car les data sont chez eux et viennent chez nous.








CryoGen a écrit :



Comme pour beaucoup de loi : si le délie est constaté -&gt; jugement -&gt; peine.

Ce n’est pas parce qu’il y a une loi contre le meurtre qu’on a tous une sonde dans le cul pour nous empêcher de le faire <img data-src=" />



Ca vise déjà les plus gros comme Facebook, Google, Amazon etc. Il est sûr et certains qu’ils font du traitement automatisé.









luxian a écrit :



Why not.

Vérification sur déclaratif et par les sous.



La Russie l’a bien imposé pour pas mal de données et toutes les grandes entreprises étrangères travaillant en Russie se mettent au diapason …. ça fait des projets migration : applications logicielles, données etc …



Il sera difficile de mettre un flic derrière chaque site web, mais pour les gros CA … ça me semble bien faisable.

Le plus important n’est pas tant un (petit) siteweb comme PCi, que ceux des entreprises qui génèrent un gros chiffre et … des impôts.

D’ailleurs, c’est déjà le cas.

Après tout, Facebook héberge les données des utilisateurs français dans un datacenter d’Aubervilliers.





En dehors de l’Europe? lol

En gros y a que les entreprises qui veut ce faire bien voir pas le gouvernement français qui va “respecter” cette loi, les autre c’est RAF.



Trop difficile à comprendre&nbsp; !

&nbsp;








MarcRees a écrit :



Tu es mexicain

Tu as un site.

Un Français s’y inscrit.

Il y a donc un traitement sur des données personnelles.

Tu es donc en infraction faute de serveur de stockage en Europe.







On pourra plus acheter KSP hors Steam en France <img data-src=" />









DUNplus a écrit :



En dehors de l’Europe? lol

En gros y a que les entreprises qui veut ce faire bien voir pas le gouvernement français qui va “respecter” cette loi, les autre c’est RAF.







Si la peine c’est blocage du site sur le territoire, le RAF peut rapidement se transformer en “pardon on le refera plus”. Il y a toujours moyen de contourner évidemment, mais ce n’est pas une raison de ne rien faire pour autant.



Ce sont justement ces entreprises qui ont intérêt à être bien perçues qui sont visées par cette loi <img data-src=" />

Celles pour lesquelles la France représente un CA significatif et qui, paradoxalement, sont facilement contrôlables car aisément repérable … donc surveillées.



Forcément, leur nombre se compte sur les deux mains et les deux pieds … mais l’argent “rapatrié” à lui tout seul avec ce petit nombre justifie que la loi s’applique à toutes celles qui n’auront même pas remarqué la présence d’un filet à papillon et continueront leur vie tranquille.


Beaucoup se méprennent sur le sens du “traitement automatisé”.

&nbsp;

Il ne faut pas comprendre qu’il s’agit d’analyse ou manipulation des données, via des algo fumeux ou des moulinettes endiablées dont le déclenchement est fait de façon programmée, il faut simplement comprendre qu’il s’agit de “systématisation” : toute ip qui passe par chez moi est inscrite dans un log, tout formulaire rempli par un visiteur est stocké en base de données, toute enquête de satisfaction papier à l’issue d’une formation est archivée… C’est ça, le “traitement automatisé”, et il ne faut donc pas se leurrer en pensant qu’il existe des données qui y échappent puisque du moment qu’elles sont stockées elles sont concernées.








numerid a écrit :



Trop difficile à comprendre&nbsp; !

&nbsp;





Cela interdit aussi de conserver des informations papiers. Par exemple, une douane hors Europe ne pourrait pas conserver une copie de ton passeport ou de ta carte d’identité”… Même si je suis très curieux de voir ce principe un jour appliqué à l’étranger ^^









Gundar a écrit :



https://www.legifrance.gouv.fr/Droit-francais/Guide-de-legistique/V.-Schemas-log…





“Un traitement automatisé de données à caractère personnel s’entend de toute opération ou de tout ensemble ‎d’opérations, réalisés par des moyens automatiques”Du coup, c’est quoi un moyen automatique ?Sachant que si on est un peu concon, on peut très facilement considérer que tout logiciel est par essence “automatique”, donc que la moindre possession d’une donnée personnelle (un email ?) te demande d’avoir des serveurs en Europe.



Cf un peu plus haut, il faut comprendre que la donnée est systématiquement (“automatique” induisant en erreur mais permettant un champ d’application plus large). Son archivage, même si elle n’est pas lue et ne le sera peut-être jamais, est considéré comme du traitement automatisé.








Pochi a écrit :



“Un traitement automatisé de données à caractère personnel s’entend de toute opération ou de tout ensemble ‎d’opérations, réalisés par des moyens automatiques”Du coup, c’est quoi un moyen automatique ?Sachant que si on est un peu concon, on peut très facilement considérer que tout logiciel est par essence “automatique”, donc que la moindre possession d’une donnée personnelle (un email ?) te demande d’avoir des serveurs en Europe.







Pas besoin d’être concon, si un logiciel n’est pas du traitement automatique alors rien n’en est <img data-src=" />



La notion de traitement automatisé de données personnelle est tout sauf floue. Le traitement consiste en presque n’importe quelle utilisation des données, et la notion d’automatisation incorpore presque tout les comportements informatiques. En gros tout ce que tu fais entre le stockage et la publication de listes de résultats sur un moteur de recherche consiste en un traitement automatisé.



En plus la notion de donnée personnelle est très large afin d’offrir une bonne protection aux personnes.



La limitation en question est donc très étendue tant pour ceux qu’elle va toucher que les contraintes qu’elle va provoquer.


ben ils vont se gêner !!!!! mdrrrrrrrrrrrrrrrrrrr


Historiquement cela concerne tous les traitements informatiques. Mais tu peux noter tout ce que tu veux manuellement dans des carnets sans déclarer à la CNIL


Cloud Money restera un européen-français, na ! <img data-src=" />





<img data-src=" />





&nbsp;


Je trouve pas non plus que cette idée soit totalement déconnante.



Ça mériterait sûrement quelques ajustements pour ne pas viser le moindre site, mais bien ceux visés par l’esprit de la loi : les GAFA



Mais sur le principe, pour essayer d’empêcher la NSA et consorts de mettre leur nez dans nos données (et de les utiliser à des fins d’espionnage économique,entre autres), c’est pas si bête.



Après, faut pas se voiler la face, à la place, ça sera les services secrets du pays hébergeant le datacenter.








MarcRees a écrit :



Tu es mexicain

Tu as un site.

Un Français s’y inscrit.

Il y a donc un traitement sur des données personnelles.

Tu es donc en infraction faute de serveur de stockage en Europe.





Les chinois imposent bien des conditions pour les CDN afin de ne pas être sujet au “Great Firewall” par exemple. Et bizarrement là, tout le monde dit “oui, oui”… C’est juste une question de rapport de force.









1dimitri a écrit :



Les chinois imposent bien des conditions pour les CDN afin de ne pas être sujet au “Great Firewall” par exemple. Et bizarrement là, tout le monde dit “oui, oui”… C’est juste une question de rapport de force.





&nbsp;Sauf que sur un CDN on stocke pas le contenu de la page, sauf les images a la rigueur…



Je me connecte à un service Google, ça passe forcément par les serveurs US,

&nbsp;c’est donc illégal selon eux ? <img data-src=" />


Aujourd’hui Google rends hommage aux Shadocks

Les senateurs aussi !


Vu l’âge moyen des sénateurs c’est pas étonnant les textes qu’ils votent. Ils doivent être déjà trop vieux pour biter quelque choses au minitel alors internet c’est beaucoup trop pour eux…

On ferais bien de supprimer cette chambre de vieux con qui s’agrippent à leur place (ou alors interdire les sénateurs au dessus de 60 ans).


Exactement!

Les entreprises étudieront le rapport de force, ce que la justice française peut atteindre et quel sera l’impact en terme de bad buzz d’une amende qu’elles ne paieront pas avant de décider que c’est économiquement mieux de conserver leurs serveurs ailleurs dans la plupart des cas.



Après libre à toi de considérer qu’une censure à la chinoise d’internet est une politique judicieuse.








momal a écrit :



ils sont trop forts…

Quelqu’un leur a dit que c’etait pas des dossiers papiers dont on parle ?





Certains n’ont jamais touché un mulot de leur vie. Alors comprendre de quoi il s’agit… <img data-src=" />



Une vidéo, une bande son, des données sont des infos faciles à trafiquer pour faire dire les vérités ou les mensonges que l’ on souhaite sur tout un chacun.

Ce que j’ ai déjà personnellement réalisé&nbsp; ….

&nbsp;Pouvoir sanctionner ceux qui travestissent les données ne peut par conséquent se réaliser qu’ au cas où l’&nbsp;hébergeur est localisable et pénalisable juridiquement sur&nbsp;le territoire.

Je ne veux pas faire peur mais il faut être bien conscient qu’ à partir du moment où on ne peut maitriser le détenteur et la source de nos données tout peut vous arriver sans que vous puissiez rien et&nbsp;penser que ce n’ est pas possible c’ est être niais.

Ce n’ est pas Snowden ou un&nbsp;autre lanceur d’ alerte qui pourra vous&nbsp;rassurer.

L’ idée&nbsp;sénatoriale me semble donc&nbsp;correspondre aux obligations de responsabilité dont ils ont la charge en tant que représentant du peuple français concernant notre sécurité à cet égard.

Et pour une fois que ces gens grassement payés font leur boulot, je vais pas me plaindre.

Après cela que la loi soit facilement applicable ou non est une autre chanson mais je ne vois pas pourquoi des sites pourraient accumuler des données sur ma personne sans que les représentants de mon pays ne puissent directement sanctionner l’ usage qui en est fait.

C’ est un contre sens vu que les données sont le nouveau pétrole du monde et je ne vois pas pourquoi on en priverait nos propres entreprises au détriment d’ entreprises étrangères.


il me semble que Google a déjà des data center en europe ;)


Il en ont, certes.

mais tout n’est pas en Europe.

logiquement, ils tombent sous le coup de cette obligation.




rg54 a écrit :



Après, faut pas se voiler la face, à la place, ça sera les services secrets du pays hébergeant le data-center&nbsp; …..



…et, qui s’emprésseront de les REVENDRE aux USA !




  1. pour êtres “bien vus” par ces derniers

  2. on NE sait jamais !

    (un p’tit service à demander à la NSA) ?