Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
La conservation des données de connexion en France jugée le 6 octobre par la justice européenneCrédits : ADragan/iStock

Selon les informations obtenues auprès d’un des avocats d’une des parties, c’est le 6 octobre (et non le 9 comme indiqué préalablement) que la CJUE rendra un arrêt crucial. Il concerne l’obligation pour les intermédiaires techniques de conserver un an durant, de manière indifférenciée, l’ensemble des données de connexion dans le cadre des communications électroniques. 

Parmi les affaires jugées ce même jour, l’une concerne la France, à la demande de La Quadrature du Net, FDN, la Fédération des fournisseurs d’accès à Internet associatifs et l’association Igwan.net. Toutes se sont attaquées aux décrets de la loi Renseignement. Les requérantes contestent la licéité de la conservation indifférenciée et généralisée des données de connexion. 

Le Conseil d’État avait décidé à cette occasion de transmettre la problématique à la justice européenne, laquelle a déjà considéré que cette conservation devait être encadrée sérieusement et surtout limitée à la lutte contre les infractions graves. 

En janvier dernier, l’avocat général de la CJUE a épinglé une nouvelle fois la contrariété de cette pratique avec le droit européen, non sans nuancer sa réponse. 

7 commentaires
Avatar de Totoxoros INpactien
Avatar de TotoxorosTotoxoros- 30/09/20 à 10:50:37

Et il serait temps !

Parce que je ne sais pas les autres, mais moi qui garde les logs pendant un an, je serre les fesses sur une éventuelle requête RGPD qui m’obligerait à les nettoyer...

Vivement que la durée de conservation baisse et qu’on soit plus tranquille.

Avatar de popsy Abonné
Avatar de popsypopsy- 30/09/20 à 11:54:36
Totoxoros

Mon point de vue est :

  • soit tu respectes la loi française et le RGPD et donc tes logs sont gardés 1 an ni plus (RGPD et minimisation des données), ni moins (loi française à la con déjà invalidée par la CJUE, mais comme on continue de republier cette même loi au seins d'autres lois…). Donc un logrotate journalier configuré sur 365 jours fait bien l'affaire.
  • soit tu respectes le RGPD et ce qu'on a compris de la décision de l'UE où c'est tout pareil mais avec un logrotate sur 15 jours.

Le droit à l'effacement n'est pas absolu, si tu as l'obligation légale de garder les données, tu n'as pas le droit de les supprimer parce qu'un utilisateur te le demande. Par contre tu n'as pas le droit de les garder plus longtemps que la durée minimum légale (qui du coup devient aussi la durée maximum grâce au RGPD).

Édité par popsy le 30/09/2020 à 11:55
Avatar de OB Abonné
Avatar de OBOB- 30/09/20 à 18:46:51

popsy a écrit :

Le droit à l'effacement n'est pas absolu, si tu as l'obligation légale de garder les données, tu n'as pas le droit de les supprimer parce qu'un utilisateur te le demande.

Tiens du coup, si un utilisateur te demande d'effacer ses données personnelles , tu fais quoi :

  • Tu ne les effaces pas , et tu es en infraction par rapport à la RGPD,
  • Tu les effaces, et si , ensuite, les flics te demande les logs , qu'est-ce qui se passe ? (pire des cas : Son @mac , ayant été supprimée, ne sera pas remontée par le log, et donc le mec sera "innocenté" ?)

Est-ce que garder la trace d'une demande d'effacement de donnée personnelle est, en soit, une donnée personnelle susceptible d'effacement à la demande?

Avatar de Salamandar Abonné
Avatar de SalamandarSalamandar- 01/10/20 à 07:36:06

Moins de propriétaires de bars en gàv du coup ? :D

Avatar de Nox le Tyt Abonné
Avatar de Nox le TytNox le Tyt- 01/10/20 à 07:36:36

Tu ne les effaces pas , et tu es en infraction par rapport à la RGPD,

Non, dans certains cas tu peux ne pas effacer les données. Par exemple, essaye de demander au fisc d'effacer tes données ...

le droit à l'effacement ne s'applique pas (art. 17 RGPD):

a) à l'exercice du droit à la liberté d'expression et d'information;
b) pour respecter une obligation légale qui requiert le traitement prévue par le droit de l'Union ou par le droit de l'État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement;
c) pour des motifs d'intérêt public dans le domaine de la santé publique, conformément à l'article 9, paragraphe 2, points h) et i), ainsi qu'à l'article 9, paragraphe 3;
d) à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, dans la mesure où le droit visé au paragraphe 1 est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement; ou
e) à la constatation, à l'exercice ou à la défense de droits en justice.

Avatar de Nox le Tyt Abonné
Avatar de Nox le TytNox le Tyt- 01/10/20 à 07:38:01

Et sinon, le RGPD ne s'applique pas -à la louche- aux fichiers de police ^^

Avatar de Martial M INpactien
Avatar de Martial MMartial M- 05/10/20 à 19:28:44

Alors je viens de lire des erreurs. Déjà la cnil impose une durée de conservation des logs de connexion de 6 mois pas un an.
Un an concerne les données de connexion liées au code des postes et des télécoms
https://www.cnil.fr/fr/securite-tracer-les-acces-et-gerer-les-incidents
Ensuite il ne faut pas confondre effacement et suppression !
L’effacement concerne le fait de ne plus utiliser les données pour les traitements pour lesquels elles ont été collectées. (Bien entendu inapplicable dans le cadre de l’utilisation de vos données pour des traitements règlementaire tels que impôt, urssaf, police etc... si tant est qu’une obligation légale y soit associée ou dans le cadre de la sûreté de l’état par exemple les fiches s)
@ Totoxoros, vous ne pouvez garder les données un an et sauf dans le cadre d’une réquisition.
@OB oui si la durée est dépassée tu dois les effacer et la police n’aura rien et il sera innocenté, c’est la loi !
C’est la même chose que les images de vidéo surveillance ne peuvent être conservées que 30 jours et les données des entrées sorties par badge 3 mois !
Vous devez en outre avoir informé vos collaborateurs, inscrit ce traitement à votre registre et effectuer une étude d’impact sur la vie privée (personne vulnérable et surveillance systématique)
Le RGPD, ne l’oubliez pas, vous protège également dans votre vie de salarié et votre vie en dehors de votre activité.
Voilà
A votre disposition
Martial
Consultant et formateur RGPD et DPO externe depuis 10 ans

Il n'est plus possible de commenter cette actualité.