Vie privée : les CNIL européennes préparent le GDPR, quand ePrivacy continue son chemin

Vie privée : les CNIL européennes préparent le GDPR, quand ePrivacy continue son chemin

Des réponses, puis des questions

Avatar de l'auteur
Guénaël Pépin

Publié dans

Droit

18/01/2017 4 minutes
18

Vie privée : les CNIL européennes préparent le GDPR, quand ePrivacy continue son chemin

Les deux futurs règlements européens sur la protection des données personnelles donnent du travail aux institutions. Le G29, qui groupe les CNIL européennes, est à pied d'œuvre pour rendre le GDPR applicable en 2018, quand son complément ePrivacy est présenté par la Commission.

Les CNIL européennes, réunies au sein du G29, ont adopté leur plan d'action pour 2017. Comme en 2016, l'objectif est de préparer l'entrée en vigueur du règlement général sur la protection des données personnelles (GDPR), fixée au 25 mai 2018.

Le texte européen, adopté l'an dernier par les institutions européennes, renforce les obligations des organisations et entreprises en matière de vie privée, que ce soit dans la conception des services, le signalement des failles ou le respect du consentement pour la collecte des données.

De nombreux détails du GDPR à régler

La feuille de route pour 2017 reprend d'abord les thèmes développés en 2016. Il s'agit de points précis du futur règlement, comme la certification et le traitement des données à potentiel haut risque, l'étude d'impact de la protection des données, les amendes administratives, la création du Bureau européen de protection des données (EDPB), ainsi que le mécanisme de cohérence lié. En clair, il s'agit de mettre en place les rouages concrets du prochain dispositif, notamment au sein des entreprises.

Quelques nouvelles priorités font aussi leur entrée, annonce le groupe, à savoir la rédaction de lignes directrices sur le consentement et le profilage, puis la transparence au second semestre. Les avis du groupement d'autorités sur le partage de données vers des pays tiers et les notifications de fuites de données seront aussi mis à jour. Ces points sont importants, surtout après l'invalidation sans détour du Safe Harbor (qui permettait de transférer des données vers les Etats-Unis), remplacé l'an dernier par le Privacy Shield, sur lequel l'institution s'est aussi montrée sceptique.

Fin 2016, le groupe avait adopté des lignes directrices sur la portabilité des données, les Data Protection Officers (DPO) au sein des entreprises et l'autorité de supervision chargée de contrôler les échanges transfrontaliers de données. Ce travail du G29 sur le nouveau règlement est assez classique. Le BEREC, qui rassemble les autorités des télécoms, a fourni l'an dernier ses lignes directrices sur la neutralité du Net, après l'entrée de ce principe dans le droit européen et un âpre combat public.

Les flous d'ePrivacy en débat

Le règlement général n'est pas le seul nouveau texte à modifier la protection des données personnelles. Il sera bientôt complété par la révision de la directive ePrivacy de 2002, devenant pour l'occasion un autre règlement. Pourquoi deux textes ? Quand le GDPR couvre nombre de cas, il laisse de côté les communications entre entreprises et celles ne contenant pas de données personnelles, qu'ePrivacy prend donc sous son aile.

Hier matin, la Commission européenne organisait un débat autour de ce second volet. Parmi les avancées promises figurent la protection des métadonnées et une gestion simplifiée des cookies, qui doit permettre d'en finir avec les bandeaux incessants sur les sites web. Désormais, des réglages navigateur doivent être pris en compte, alors que les cookies statistiques ne demanderont pas de consentement.

Hier, une part importante des questions portaient sur la distinction entre les services couverts par l'un ou l'autre des textes. Pour Facebook, par exemple, le flux d'actualité du réseau social ne serait pas couvert par ePrivacy, au contraire des échanges sur Messenger. Sur l'exclusion des communications entre machines de ces nouvelles règles, le flou semble également de mise après les explications de la Commission.

D'autres détails prêtent encore à discussion, par exemple le sort d'outils de statistiques comme Google Analytics, dont les cookies ne viennent pas directement du site visité, donc pourraient être bloqués. Le texte doit, de toute manière, encore passer entre les mains du Conseil et du Parlement européens. La Commission souhaite que le règlement passe avant le 25 mai 2018, pour être en marche avec le GDPR.

18

Écrit par Guénaël Pépin

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

De nombreux détails du GDPR à régler

Les flous d'ePrivacy en débat

Commentaires (18)


Et me Royaume-Uni dans l’histoire ? Que va-t-il advenir des relations comme celles-ci ?



🤔


Si le Brexit a bien lieu, ils seront sûrement considérés comme un pays tiers, donc devront signer un accord type Privacy Shield pour échanger les données tranquillement.


Je ne vois pas comment il serait possible en l’état actuel d’annuler le Brexit. Mais merci pour la précision du Privacy Shield.



<img data-src=" />


C’est quand les prochaines grandes élections dans le royaume désuni ?



A vrai dire, il suffirait qu’un parti fasse campagne sur “on annule le brexit” et gagne les élections. C’est beaucoup de suppositions, mais ensuite, ils sont légitimes pour refaire un référendum et faire machine arrière ou pas en fonction du résultat.



Il n’y a rien d’irréversible, mais ça demanderait une détermination et un courage qu’aucune personnalité politique en Europe ne semble avoir.



Le reste, ce n’est que de la tracasserie administrative (s’ils ont des traités à re-ratifier ou qu’ils ont déjà flingué les lois qui découlent de directives, je n’ai pas suivi l’avancement des manœuvres du brexit).


Cool, ça fait toujours plaisir de voir que l’UE se rend vraiment utile de temps en temps.


Guénaël a écrit

&nbsp;Pourquoi deux textes ? Quand

le GDPR couvre nombre de cas, il laisse de côté les communications

entre entreprises et celles ne contenant pas de données personnelles,

qu’ePrivacy&nbsp;prend donc sous son aile.



En fait, l’article 5§3 directive ePrivacy, tel que révisé par la directive2009/136/CE du 25 novembre 2009&nbsp;



est une réglementation sectorielle des données à caractère personnel pour les services de la société de l’information (cf. article 32-II de la LIL&nbsp; et délibération de décembre 2013 de la CNIL pour la réception en droit français du cadre communautaire applicables au cookies), alors que la directive 199547 ou le RGPD sont des textes de droit commun.&nbsp;



Selon la définition contenues au sein de ces deux textes, les donnée à caractère personnel sont toutes les données qui de manière direct ou indirect permettent l’identification d’une personne. Un traceur&nbsp; ou une métadonnée permettent indirectement d’identifier une personne.



A la page deux de la proposition de règlement (cf §1.2. Consistency with existing policy provisions in the policy area),&nbsp; la Commission écrit&nbsp; :“This proposal is lex specialis to the GDPR and will particularise and complement it as regards electronic communications data that qualify as personal data”[…]The alignment with the GDPR resulted in the repeal of some provisions, such as the security obligations of Article 4 of the ePrivacy Directive”.



&nbsp;.Aussi, toute les données à caractère personnel collectées ou traitées dans le cadre de communications électroniques sont encadrées par la directive ( ou le règlement) ePrivacy.


HS : Enfin ^^ J’ai le droit de reposter ^^ C’était en panne depuis lundi :(








Gnppn a écrit :



Si le Brexit a bien lieu, ils seront sûrement considérés comme un pays tiers, donc devront signer un accord type Privacy Shield pour échanger les données tranquillement.





Pas forcément. Sous l’empire de l’article 25 de la directive de 1995, la Commission pouvait certifier qu’un pays tiers de l’Union&nbsp; assurait “ un niveau de protection adéquat” des données à caractère personnel. Aussi, la réglementation des&nbsp; transferts vers ces pays ne nécessite pas d’autorisation particulière de la CNIL, juste une information lors de la déclaration de traitement.&nbsp; Sur cette carte, le Canada est une juridiction sure, par exemple. Le Privacy Shield ou le Safe Harbor s’expliquent par le fait que les USA n’offraient pas, initialement,&nbsp; un niveau de protection adéquat.



Mais même en présence d’un pays n’offrant pas un niveau de protection adéquat, une entreprise peut y exporter/importer des données personnelles en certifiant qu’elle met en œuvre des mesures de sécurité permettant d’obtenir un niveau adéquat de protection. Il existe deux outils, en fonction de l’internalisation ou de l’externalisation du traitement des données. Les Binding Corporate Rules (BCR- code de bonne conduite certifié par une CNIL européenne) qui permettent le transfert entre plusieurs filiales d’un même groupe, et les clauses types de la Commission européenne qu’une entreprise doit obligatoirement insérer dans son contrat qui la lié avec son sous-traitant (la présence de ces clauses types peut être vérifié par la CNIL).









ArchangeBlandin a écrit :



C’est quand les prochaines grandes élections dans le royaume désuni ?



A vrai dire, il suffirait qu’un parti fasse campagne sur “on annule le brexit” et gagne les élections. C’est beaucoup de suppositions, mais ensuite, ils sont légitimes pour refaire un référendum et faire machine arrière ou pas en fonction du résultat.



Il n’y a rien d’irréversible, mais ça demanderait une détermination et un courage qu’aucune personnalité politique en Europe ne semble avoir.



Le reste, ce n’est que de la tracasserie administrative (s’ils ont des traités à re-ratifier ou qu’ils ont déjà flingué les lois qui découlent de directives, je n’ai pas suivi l’avancement des manœuvres du brexit).





Pour le moment, le Brexit est très favorable aux anglais. Je ne vois pas ce qui nécessiterait de revenir dans une UE moribonde.





D’autres détails&nbsp;prêtent encore à discussion, par exemple le

sort&nbsp;d’outils de statistiques comme Google Analytics, dont les

cookies&nbsp;ne viennent pas directement du site visité, donc pourraient être bloqués.



A quel niveau ? Parce que jusqu’à preuve du contraire, bloquer les cookies tiers, c’est pas interdit. Il y a même une option dans les navigateurs pour ça.








ArchangeBlandin a écrit :



C’est quand les prochaines grandes élections dans le royaume désuni ?&nbsp;



&nbsp;En Irlande du Nord, où le gouvernement vient de tomber sur une histoire de subvention de chauffage (élections anticipées).

Pour le reste, c’est 2020, donc May a largement le temps de sortir.

&nbsp;



ArchangeBlandin a écrit :



A vrai dire, il suffirait qu’un parti fasse campagne sur “on annule le brexit” et gagne les élections. C’est beaucoup de suppositions, mais ensuite, ils sont légitimes pour refaire un référendum et faire machine arrière ou pas en fonction du résultat.&nbsp;&nbsp;



&nbsp;Comme en France en 2005 ?&nbsp;<img data-src=" />

Non rien à faire, May va sortir et je ne vois pas ce qui l’empêchera.

À part une guerre civile en Irlande du Nord, justement ?&nbsp;<img data-src=" />



On pourrait surement les suivre et tricoter une alliance par delà la manche !

<img data-src=" />








ArchangeBlandin a écrit :



On pourrait surement les suivre et tricoter une alliance par delà la manche !

<img data-src=" />





<img data-src=" />



Pendant un moment, le royaume unis va continuer d’appliquer la législation européenne à défaut d’autre législation, et la GDPR, même si elle entre en vigueur en 2018 devrait être reprise.

Ensuite, il y a plusieurs scenarii



Soit ils restent eurocompatibles, et feront l’objet d’une décision d’adéquation de la part de l’UE, qui considèrera que, sauf exception la protection accordée est équivalente (mais ça permettra de critiquer le GCHQ comme pour celle d’adéquation avec les USA et l’affaire schrems).



Soit ils modifient le tout en profondeur, et il sera plus dur de rendre une décision d’adéquation. Ce sera aux entreprises qui veulent traiter des données à l’extérieur de démontrer au cas par cas que le transfert ne présente pas de risque et permet de respecter la GDPR.



Ou alors on peut imaginer que l’UE et le royaume unis règleront ce cas particulier dans l’accord cadre sur le brexit, et là il faudra voir.


En général, le peuple est très très mécontent lorsqu’on essaie de passer par dessus la volonté qu’il a exprimé dans les urnes.



A court ou moyen terme, repartir sur une réadhésion serait à mon sens politiquement plus suicidaire que courageux. Là ou les politiciens britanniques disposent de marge de manoeuvre c’est plus sur l’étendue et la profondeur de la coupure que sur la coupure en elle-même.



Par contre, quand ils auront vu ce à quoi ils devront renoncer, peut-être que les opinions vont changer


J’ai indiqué deux choses qui sont obligatoires pour ça :&nbsp;

1/ avoir fait campagne sur le sujet avant des élections d’importance

2/ refaire un reférendum

Donc, ce ne serait pas passer par dessus la volonté du peuple.

D’où le courage et pas le suicide, comme pour tout en politique, si l’on y met les formes, ça passe…


Rien n’est gravé dans le marbre bien sur, et c’est tout à fait possible de reposer la question si les règles sont suivies. et peut-être qu’à moyen ou long terme c’est ce qui va arriver.

Mais de mon expérience de votant en Suisse (avec cette saleté de vote du 9 février 2014), les gens détestent que les politiques leur reposent la question parce que le vote n’a pas correspondu à leurs attentes. Bon nombre de citoyens savent qu’on va droit dans le mur, mais refusent de soutenir ceux qui veulent revoter parce qu’ils ont l’impression qu’on se moque d’eux même si au final la constitution le permettrait.



J’imaginerais déjà plus les anglais voter sur l’accord final du brexit, tellement mal ficelé qu’ils diraient non, ce qui permettrait aux anglais de rester