Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Vie privée : les CNIL européennes préparent le GDPR, quand ePrivacy continue son chemin

Des réponses, puis des questions
Droit 3 min
Vie privée : les CNIL européennes préparent le GDPR, quand ePrivacy continue son chemin
Crédits : PeskyMonkey/iStock

Les deux futurs règlements européens sur la protection des données personnelles donnent du travail aux institutions. Le G29, qui groupe les CNIL européennes, est à pied d'œuvre pour rendre le GDPR applicable en 2018, quand son complément ePrivacy est présenté par la Commission.

Les CNIL européennes, réunies au sein du G29, ont adopté leur plan d'action pour 2017. Comme en 2016, l'objectif est de préparer l'entrée en vigueur du règlement général sur la protection des données personnelles (GDPR), fixée au 25 mai 2018.

Le texte européen, adopté l'an dernier par les institutions européennes, renforce les obligations des organisations et entreprises en matière de vie privée, que ce soit dans la conception des services, le signalement des failles ou le respect du consentement pour la collecte des données.

De nombreux détails du GDPR à régler

La feuille de route pour 2017 reprend d'abord les thèmes développés en 2016. Il s'agit de points précis du futur règlement, comme la certification et le traitement des données à potentiel haut risque, l'étude d'impact de la protection des données, les amendes administratives, la création du Bureau européen de protection des données (EDPB), ainsi que le mécanisme de cohérence lié. En clair, il s'agit de mettre en place les rouages concrets du prochain dispositif, notamment au sein des entreprises.

Quelques nouvelles priorités font aussi leur entrée, annonce le groupe, à savoir la rédaction de lignes directrices sur le consentement et le profilage, puis la transparence au second semestre. Les avis du groupement d'autorités sur le partage de données vers des pays tiers et les notifications de fuites de données seront aussi mis à jour. Ces points sont importants, surtout après l'invalidation sans détour du Safe Harbor (qui permettait de transférer des données vers les Etats-Unis), remplacé l'an dernier par le Privacy Shield, sur lequel l'institution s'est aussi montrée sceptique.

Fin 2016, le groupe avait adopté des lignes directrices sur la portabilité des données, les Data Protection Officers (DPO) au sein des entreprises et l'autorité de supervision chargée de contrôler les échanges transfrontaliers de données. Ce travail du G29 sur le nouveau règlement est assez classique. Le BEREC, qui rassemble les autorités des télécoms, a fourni l'an dernier ses lignes directrices sur la neutralité du Net, après l'entrée de ce principe dans le droit européen et un âpre combat public.

Les flous d'ePrivacy en débat

Le règlement général n'est pas le seul nouveau texte à modifier la protection des données personnelles. Il sera bientôt complété par la révision de la directive ePrivacy de 2002, devenant pour l'occasion un autre règlement. Pourquoi deux textes ? Quand le GDPR couvre nombre de cas, il laisse de côté les communications entre entreprises et celles ne contenant pas de données personnelles, qu'ePrivacy prend donc sous son aile.

Hier matin, la Commission européenne organisait un débat autour de ce second volet. Parmi les avancées promises figurent la protection des métadonnées et une gestion simplifiée des cookies, qui doit permettre d'en finir avec les bandeaux incessants sur les sites web. Désormais, des réglages navigateur doivent être pris en compte, alors que les cookies statistiques ne demanderont pas de consentement.

Hier, une part importante des questions portaient sur la distinction entre les services couverts par l'un ou l'autre des textes. Pour Facebook, par exemple, le flux d'actualité du réseau social ne serait pas couvert par ePrivacy, au contraire des échanges sur Messenger. Sur l'exclusion des communications entre machines de ces nouvelles règles, le flou semble également de mise après les explications de la Commission.

D'autres détails prêtent encore à discussion, par exemple le sort d'outils de statistiques comme Google Analytics, dont les cookies ne viennent pas directement du site visité, donc pourraient être bloqués. Le texte doit, de toute manière, encore passer entre les mains du Conseil et du Parlement européens. La Commission souhaite que le règlement passe avant le 25 mai 2018, pour être en marche avec le GDPR.

18 commentaires
Avatar de matroska INpactien
Avatar de matroskamatroska- 18/01/17 à 14:15:09

Et me Royaume-Uni dans l'histoire ? Que va-t-il advenir des relations comme celles-ci ?

🤔

Avatar de Gnppn Abonné
Avatar de GnppnGnppn- 18/01/17 à 14:22:24

Si le Brexit a bien lieu, ils seront sûrement considérés comme un pays tiers, donc devront signer un accord type Privacy Shield pour échanger les données tranquillement.

Avatar de matroska INpactien
Avatar de matroskamatroska- 18/01/17 à 14:26:09

Je ne vois pas comment il serait possible en l'état actuel d'annuler le Brexit. Mais merci pour la précision du Privacy Shield.

:yes:

Avatar de ArchangeBlandin Abonné
Avatar de ArchangeBlandinArchangeBlandin- 18/01/17 à 14:41:57

C'est quand les prochaines grandes élections dans le royaume désuni ?

A vrai dire, il suffirait qu'un parti fasse campagne sur "on annule le brexit" et gagne les élections. C'est beaucoup de suppositions, mais ensuite, ils sont légitimes pour refaire un référendum et faire machine arrière ou pas en fonction du résultat.

Il n'y a rien d'irréversible, mais ça demanderait une détermination et un courage qu'aucune personnalité politique en Europe ne semble avoir.

Le reste, ce n'est que de la tracasserie administrative (s'ils ont des traités à re-ratifier ou qu'ils ont déjà flingué les lois qui découlent de directives, je n'ai pas suivi l'avancement des manœuvres du brexit).

Avatar de Timothée INpactien
Avatar de TimothéeTimothée- 18/01/17 à 14:44:29

Goulou!

Avatar de Arkeen Abonné
Avatar de ArkeenArkeen- 18/01/17 à 14:55:25

Cool, ça fait toujours plaisir de voir que l'UE se rend vraiment utile de temps en temps.

Avatar de jurinord INpactien
Avatar de jurinordjurinord- 18/01/17 à 15:00:39

Guénaël a écrit
 Pourquoi deux textes ? Quand
le GDPR couvre nombre de cas, il laisse de côté les communications
entre entreprises et celles ne contenant pas de données personnelles,
qu'ePrivacy prend donc sous son aile.

En fait, l'article 5§3 directive ePrivacy, tel que révisé par la directive2009/136/CE du 25 novembre 2009 

est une réglementation sectorielle des données à caractère personnel pour les services de la société de l'information (cf. article 32-II de la LIL  et délibération de décembre 2013 de la CNIL pour la réception en droit français du cadre communautaire applicables au cookies), alors que la directive 1995/47 ou le RGPD sont des textes de droit commun. 

Selon la définition contenues au sein de ces deux textes, les donnée à caractère personnel sont toutes les données qui de manière direct ou indirect permettent l'identification d'une personne. Un traceur  ou une métadonnée permettent indirectement d'identifier une personne.

A la page deux de la proposition de règlement (cf §1.2. Consistency with existing policy provisions in the policy area),  la Commission écrit  :"This proposal is lex specialis to the GDPR and will particularise and complement it as regards electronic communications data that qualify as personal data"[...]The alignment with the GDPR resulted in the repeal of some provisions, such as the security obligations of Article 4 of the ePrivacy Directive".

 .Aussi, toute les données à caractère personnel collectées ou traitées dans le cadre de communications électroniques sont encadrées par la directive ( ou le règlement) ePrivacy.

Avatar de eliumnick INpactien
Avatar de eliumnickeliumnick- 18/01/17 à 15:02:15

HS : Enfin ^^ J'ai le droit de reposter ^^ C'était en panne depuis lundi :(

Édité par eliumnick le 18/01/2017 à 15:02
Avatar de jurinord INpactien
Avatar de jurinordjurinord- 18/01/17 à 15:30:19

Gnppn a écrit :

Si le Brexit a bien lieu, ils seront sûrement considérés comme un pays tiers, donc devront signer un accord type Privacy Shield pour échanger les données tranquillement.

Pas forcément. Sous l'empire de l'article 25 de la directive de 1995, la Commission pouvait certifier qu'un pays tiers de l'Union  assurait " un niveau de protection adéquat" des données à caractère personnel. Aussi, la réglementation des  transferts vers ces pays ne nécessite pas d'autorisation particulière de la CNIL, juste une information lors de la déclaration de traitement.  Sur cette carte, le Canada est une juridiction sure, par exemple. Le Privacy Shield ou le Safe Harbor s'expliquent par le fait que les USA n'offraient pas, initialement,  un niveau de protection adéquat.

Mais même en présence d'un pays n'offrant pas un niveau de protection adéquat, une entreprise peut y exporter/importer des données personnelles en certifiant qu'elle met en œuvre des mesures de sécurité permettant d'obtenir un niveau adéquat de protection. Il existe deux outils, en fonction de l’internalisation ou de l'externalisation du traitement des données. Les Binding Corporate Rules (BCR- code de bonne conduite certifié par une CNIL européenne) qui permettent le transfert entre plusieurs filiales d'un même groupe, et les clauses types de la Commission européenne qu'une entreprise doit obligatoirement insérer dans son contrat qui la lié avec son sous-traitant (la présence de ces clauses types peut être vérifié par la CNIL).

Édité par jurinord le 18/01/2017 à 15:31
Avatar de Ricard INpactien
Avatar de RicardRicard- 18/01/17 à 15:32:00

ArchangeBlandin a écrit :

C'est quand les prochaines grandes élections dans le royaume désuni ?

A vrai dire, il suffirait qu'un parti fasse campagne sur "on annule le brexit" et gagne les élections. C'est beaucoup de suppositions, mais ensuite, ils sont légitimes pour refaire un référendum et faire machine arrière ou pas en fonction du résultat.

Il n'y a rien d'irréversible, mais ça demanderait une détermination et un courage qu'aucune personnalité politique en Europe ne semble avoir.

Le reste, ce n'est que de la tracasserie administrative (s'ils ont des traités à re-ratifier ou qu'ils ont déjà flingué les lois qui découlent de directives, je n'ai pas suivi l'avancement des manœuvres du brexit).

Pour le moment, le Brexit est très favorable aux anglais. Je ne vois pas ce qui nécessiterait de revenir dans une UE moribonde.

Il n'est plus possible de commenter cette actualité.
Page 1 / 2