RGPD : un projet de loi « CNIL 2 » présenté en Conseil des ministres

RGPD : un projet de loi « CNIL 2 » présenté en Conseil des ministres

CNIL était une fois

Avatar de l'auteur
Xavier Berne

Publié dans

Droit

13/12/2017 3 minutes
53

RGPD : un projet de loi « CNIL 2 » présenté en Conseil des ministres

Le projet de loi destiné à adapter la législation française au règlement européen sur la protection des données personnelles a été présenté ce matin en Conseil des ministres. L’objectif : préparer la mise en application de la réforme impulsée par l'UE, fixée au 25 mai prochain.

Porté par la ministre de la Justice, Nicole Belloubet, le texte d’origine gouvernementale « transpose le nouveau cadre juridique européen (le règlement 2016/679 et la directive 2016/680) » en matière de données personnelles.

Même si le Règlement général sur la protection des données personnelles (RGPD) est d’application directe, la France s’apprête à opérer un toilettage de son droit, afin de mettre à jour certains textes. À commencer par la loi « Informatique et Libertés » de 1978. Le législateur prendra également position dans certains domaines où l’Union européenne a laissé une marge de manœuvre aux États membres.

L’exécutif annonce par exemple qu’il a décidé de fixer à 16 ans l’âge à partir duquel un mineur pourra validement donner son consentement à ce que ses données personnelles puissent être collectées, notamment par les estomacs de Facebook, Instagram ou Twitter. La France avait dans ce domaine la possibilité de descendre jusqu’à 13 ans.

Renforcement du pouvoir de sanction de la CNIL, droit à la portabilité des données...

Sur le terrain des mises à jour, figure notamment le renforcement du pouvoir de sanction de la Commission nationale de l’informatique et des libertés (CNIL). Les amendes de la gardienne des données personnelles pourront en effet atteindre « 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial consolidé », indique l’exécutif. Le droit à la portabilité des données, anticipé par la loi Numérique, sera également abordé.

Le gouvernement précise enfin qu’il a « fait le choix de maintenir certaines formalités préalables pour les traitements des données les plus sensibles, par exemple pour les données biométriques nécessaires à l’identification ou au contrôle de l’identité des personnes, ou ceux utilisant le numéro d’inscription au répertoire national d’identification des personnes physiques ».

Nous reviendrons plus en détail sur ce projet de loi lorsque son contenu exact aura été rendu public.

Écrit par Xavier Berne

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Renforcement du pouvoir de sanction de la CNIL, droit à la portabilité des données...

Commentaires (53)


J’ai participé à plusieurs webinars là dessus, c’est assez “marrant” car des demandes ou des possibilités offertes par la RGPD ne sont pas compatible avec ce qui nous est demandé de garder légalement comme données perso sur les personnes que nous recevons…

… Y’a rien de clair, mais ça doit être mis en place pour fin mai, haha….


Ils ont même pas appelé ça “Gen 2 ou V2 ou CNIL 2.0” je suis déçu <img data-src=" />








secouss a écrit :



Ils ont même pas appelé ça “Gen 2 ou V2 ou CNIL 2.0” je suis déçu <img data-src=" />





CNIL Turbo Ex+ Alpha 3 <img data-src=" />









secouss a écrit :



Ils ont même pas appelé ça “Gen 2 ou V2 ou CNIL 2.0” je suis déçu <img data-src=" />



New CNIL, ca aurait été mieux. Pour concurrencer le New Deal américain <img data-src=" />









Patch a écrit :



New CNIL, ca aurait été mieux. Pour concurrencer le New Deal américain <img data-src=" />





Ils auraient pu faire CNNIL (Commission Nationale Nouvelle de l’Informatique & Libertés) pour rester dans la thématique CNNum <img data-src=" />









Patch a écrit :



New CNIL, ca aurait été mieux. Pour concurrencer le New Deal américain <img data-src=" />





Le tout dans le cadre du Projet Phénix ^^



“Où l’Union européenne a laissé une marge de manœuvre aux États membres.”



“avec …….Un cadre unifié en Europe” <img data-src=" /><img data-src=" />



Unifié ? <img data-src=" />


Je me demande ce que tous ces “machins” vons devenir quand l’UE s’effondrera… <img data-src=" />








Ricard a écrit :



Je me demande ce que tous ces “machins” vons devenir quand l’UE s’effondrera… <img data-src=" />







La vidéo-protection marchera à plein temps (un métier d’avenir florissant)<img data-src=" /> (postulons pour être vigil)<img data-src=" />









Patch a écrit :



New CNIL, ca aurait été mieux. Pour concurrencer le New Deal américain <img data-src=" />





NextCNIL pour de la pub à NiXI



De quel machin tu parles ? La CNIL est française, si l’UE s’effondre elle continuera&nbsp; à exister.



A moins que tu fasses référence au Conseil des Ministres ? Là c’est vrai que si l’UE s’effondre, Macron et le gouvernement n’auront plus de chef pour leur dicter quoi faire au niveau national <img data-src=" />


Déjà le RGPD, ne sait même pas comment le mettre en place dans ma société. C’est ultra chaud.








FunnyD a écrit :



NextCNIL pour de la pub à NiXI







Mais Nil n’est plus là <img data-src=" />









2show7 a écrit :



La vidéo-protection marchera à plein temps (un métier d’avenir florissant)<img data-src=" /> (postulons pour être vigil)<img data-src=" />



La vidéoprotection, tu veux dire celle où les caméras nous protègent grâce à leurs petits bras?







FunnyD a écrit :



NextCNIL pour de la pub à NiXI



Ils auraient trop peur d’avoir des demandes CADA supplémentaires <img data-src=" />









Patch a écrit :



La vidéoprotection, tu veux dire celle où les caméras nous protègent grâce à leurs petits bras?







Aaaaah! <img data-src=" /> j’avais oublié les caméras automatisées qui envoient les brigades d’intervention :pasdebol:









Jarodd a écrit :



De quel machin tu parles ? La CNIL est française, si l’UE s’effondre elle continuera  à exister.





Elle continuera d’exister, avec des bouts de loi qui ne seront plus utiles/viables…



Ca ne veut pas dire que fin mai la mitrailleuse à distribuer les amendes commence à faire tourner ses tubes non plus… il y aura certainement une phase d’accompagnement, dans l’esprit de ce que fait la CNIL actuellement.


La CNIL française et la loi informatique et libertés étant pionnières du sujet et ayant été à ma connaissance un des socles des lois européennes sur le sujet il y a des chances que ça ne change pas grand chose, c’est plutôt les autres européens qui ont nos lois sur ce sujet que l’inverse.


Dans plein d’endroits ça nécessite de redévelopper le coeur des applis et de modifier des processus vitaux, à commencer par les administrations publiques…

Faut pas paniquer selon moi, ça se fera petit à petit. C’est plus les éditeurs logiciels qui devraient avoir la pression là que les clients finaux

Développeurs de modules d’archivistique, un métier d’avenir <img data-src=" />


Exact, la CNIL joue à fond son rôle de pédagogue. Il suffit de voir à quelle fréquence elle met des amendes ou des avis publics (à peine quelques un par an), le reste du temps elle prend en considération les difficultés à se mettre en confirmité et peut conseiller, surtout les petites boites qui n’ont pas de référent “protection des données” à plein temps.


Sinon 16 ans c’est bien comme âge pour la majorité numérique.


Ce n’est pas bien de faire la corrélation avec le cul. Un gosse de huit ans peut très bien maîtriser l’assembleur sans pour autant être un voyeur








2show7 a écrit :



La vidéo-protection marchera à plein temps (un métier d’avenir florissant)<img data-src=" /> (postulons pour être vigil)<img data-src=" />





On dit vidéo-surveillance, quand on est poli&nbsp;&nbsp; … La vidéo ne protège absolument de rien du tout en fait



Me connaissant un peu, tu dois savoir que j’aime jouer sur les mots <img data-src=" /> (quoi que dans ce cas bien précis de ce que j’ai cité avant, la vidéo-protection pourrait remplir sa fonction citoyenne ou pas, mais limiter des actions extrêmement déstructifs)


C’est à dire ?


Mouais, encore faudrait-il qu’il y ait des gus (qui ne jouent pas à WoW ou CoD) derrière les écrans&nbsp;&nbsp; …&nbsp; et c’est du vécu.

<img data-src=" />








Vin Diesel a écrit :



Mouais, encore faudrait-il qu’il y ait des gus (qui ne jouent pas à WoW ou CoD) derrière les écrans   …  et c’est du vécu.

<img data-src=" />







Je ne sais pas pourquoi j’ai changé “actions” destructives en destructifs (bizarre)<img data-src=" />



Comme dans la série de silicon valley? <img data-src=" />



Oui. J’aimerais bien faire chier les transports publique. A lille, on à des cartes de transport avec nos photos, et nous sommes obligé de pointé tout le temps mal grès un abonnement illimité. Sa me soul grave, j’ai juste envie de dire :&nbsp; non, je pointe pas, vos données ne sont pas crypté etc x)



En plus, je sais même pas à quoi servent ces informations et/ou elle sont protégés ou pas….


ça m’arrive de temps en temps, mais c’est parce que j’ai les mains palmées comme les pattes des canards&nbsp;&nbsp; .<img data-src=" />








Vin Diesel a écrit :



ça m’arrive de temps en temps, mais c’est parce que j’ai les mains palmées comme les pattes des canards   .<img data-src=" />







Je crois que “Extrêmement” (entre les deux) m’a orienté vers le masculin pluriels









yvan a écrit :



La CNIL française et la loi informatique et libertés étant pionnières du sujet et ayant été à ma connaissance un des socles des lois européennes sur le sujet il y a des chances que ça ne change pas grand chose, c’est plutôt les autres européens qui ont nos lois sur ce sujet que l’inverse.







C’est pas la partie française qui m’inquiète. C’est la partie européenne qu’on va y rajouter.



Combien de temps faudra t’il pour que l’humanité réalise qu’il est vital d’interdire purement et simplement la collecte et le commerce de données personnelle.



Sanctuariser la vie personnelle est primordial, dans le cas contraire, nous irons vers des troubles sociétaux majeurs.



J’espère qu’un jour nous réaliserons qu’ils faut apprendre à dire non face à des multinationales d’envergure mondiale.


Le truc c’est que c’est comme le reste, il n’y a rien de précis dessus, et même si les sociétés qui “accompagnent” ce changement vont dans ce sens, les 3 présentations que j’ai vu disent la même chose “On pense que..; mais on ne sait pas”. :(


C’est à dire qu’une personne qui vient chez nous doit nous laisser des données personnelles (obligation légale qu’on doit retourner à la région en l’occurrence, et je ne vous dis pas le genre d’info qu’ils demandent: minorité ethnique ou non, des trucs comme ça entre autres infos plus classiques…).

Ces données, on doit les garder 5 ans minimum. Mais avec la RGPD une personne peut venir n’importe quand et nous demander d’effacer toute trace de son passage (ce que je trouve normal dans le principe)… Mais si on fait ça, alors on ne peut plus renvoyer d’info à la région.

On leur a posé la question (à la région), qui nous a répondu texto: “Faut suivre la RGDP… mais pouvoir nous redonner des infos 5 ans après quand même… <img data-src=" />








Furax a écrit :



C’est à dire qu’une personne qui vient chez nous doit nous laisser des données personnelles (obligation légale qu’on doit retourner à la région en l’occurrence, et je ne vous dis pas le genre d’info qu’ils demandent: minorité ethnique ou non, des trucs comme ça entre autres infos plus classiques…).

Ces données, on doit les garder 5 ans minimum. Mais avec la RGPD une personne peut venir n’importe quand et nous demander d’effacer toute trace de son passage (ce que je trouve normal dans le principe)… Mais si on fait ça, alors on ne peut plus renvoyer d’info à la région.

On leur a posé la question (à la région), qui nous a répondu texto: “Faut suivre la RGDP… mais pouvoir nous redonner des infos 5 ans après quand même… <img data-src=" />





J’ai pas encore lu la loi . Mais ça pose effectivement problème pour des systèmes d’archivage par exemple. Si une archive contient des données perso et doit être conservé 10 ans il n’est pas possible de modifier cette archive pendant la période. C’est la philosophie du truc …

&nbsp;&nbsp; Mais pour ton cas &nbsp; est-ce que ces 5 ans de rétentions sont réclamer légalement ? Est-ce que GDPR efface cette obligation ? Il ne me semble pas qu’un utilisateur puisse être en droit de réclamer modification/suppression si la rétention est du à une contrainte légale. Je me souviens que dans CIL il y’a une petite liste d’exception au droit de modification/suppression.



En tout cas pour moi GDPR en ce moment c’est juste une sorte de mine d’or pour consultant et autre vendeur de boite <img data-src=" />



Dans les présentations que j’ai eu de la RGPD, nous avons aussi demandé “que faire des données personnelles qui doivent être garder avec une durée légale déjà définie ?”. Les éditeurs nous ont répondu qu’elles devaient continuer à être conservées et l’utilisateur ne peut pas demander la suppression car elles sont conservées dans un contexte précis et légal.

L’important, de ce que j’ai réussi à comprendre de cette RGPD complexe, c’est d’avoir une “cartographie” bien détaillé de quelles données personnelles nous disposons, de comment elles sont gérées (accès, …),protégées et supprimer lorsqu’elles doivent l’être. Et il faut bien sûr avoir aussi définit un “référent RGPD” pour garantir la MAJ régulière de cette “cartographie”.

Nous n’avons pas encore trop creusé au final car nous sommes très peu concernés, nous avons des données personnelles basiques :&nbsp; données salariés dont la plupart sont aussi concernées par une conservation légale. On doit encore rencontrer quelques prestataires spécialisées pour faire un audit en bonne et due forme pour être conforme à cette RGPD.


Bon faut que je me réveille, j’ai cru lire dans le tweet @Moundir, j’ai pas compris 🤣

Moi j’avais retenu d’un ancien collègue que la loi nous obligerait à verrouiller tout poste informatique avec des données comptables (mot de passe de session à changer régulièrement + cryptage des données), qu’en est-il ?


Ca consiste juste à prendre en compte les évolutions de l’informatique. De plus en plus de choses sont automatisées il faut donc gérer les garanties sur la vie privée dès la conception des logiciels (auto archivage, consentement cnil electronique, durée d’utilité administrative des infos nominatives etc.).

On n’est pas du tout dans une nouvelle législation dans l’esprit, juste une adaptation à un monde de plus en plus géré par des robots, si ça ne venait de l’europe ça viendrait probablement de la CNIL elle même.



Je ne suis pas fan de l’Europe sur l’aspect casse sociale et démocratie fantoche mais sur le respect des droits de l’homme l’Europe a fait considérablement avancer les choses en France donc il n’y a pas de passif sur le sujet qui doive faire craindre une législation européenne sur les données personnelles selon moi.


Je ne connais pas la série désolé…



Les informations servent probablement à planifier les tournées de bus/tram/métros et leur fréquence fonction de la fréquentation.



Il serait effectivement bien (ne serai-ce que pour la liberté des proches des gens qui gèrent les fichiers de transport) qu’elles soient anonymes/anonymisées effectivement.


C’est pour ça qu’il faut un correspondant données personnelles dans les entreprises et prévoir de faire évoluer la gestion des données dans les années à venir. Rien de bien compliqué non plus.


Si le gosse en question doit coder en assembleur un client facebook, il aura largement 16 ans quand il pourra envoyer des pokes <img data-src=" />








yvan a écrit :



Si le gosse en question doit coder en assembleur un client facebook, il aura largement 16 ans quand il pourra envoyer des pokes <img data-src=" />







J’ai sans doute exagéré en disant 8 ans, mais même s’il commence à cet age à fouiné dans les bases du langage informatique je ne vois ce qu’une interdiction à avoir. Les parents évitent que leur enfant sorte des gros mots, mais il les connaît. Et on ne va leur interdire d’apprendre le français jusqu’à seize ans parce qu’ils y a des mots tabous <img data-src=" /> C’est l’utilisation de programme non bridant en efficacité qui pose problème



“Les informations servent probablement à planifier les tournées de

bus/tram/métros et leur fréquence fonction de la fréquentation.”



Peut être que oui. Mais, depuis que je prend les transports en commun, je suis plus dégouté que autres choses.

Serrer comme des citrons tout le temps. C’est bien de prendre des informations mais si cela sert à rien…



Sa serait bien d’enquêter sur ces données.

&nbsp;


Il s’agit de l’age pour la collecte des données personnelles en ligne sans autorisation parentale, rien à voir avec l’age auquel tu as le droit de surfer ou coder si j’ai bien compris.


Ils optimisent le remplissage justement <img data-src=" />


Non mais sérieux. Je me lève, je prend le bus. Déjà, je bip + vidéo surveillance dans le bus. Metéo idem. Gare : caméra. Le train, tu bip.&nbsp; Tu sorts du train : nouvelle gare donc caméra.



Retour idem.&nbsp; A part que quand tu rentres, tu repasse par la gare, tu es fatigué de ta journée, tu as les yeux explosé par les écrans, bah tu te fais contrôler par les keufs. Pour la menace terroriste? Bien sûre que non, juste pour te demander si tu as de la drogue, du coup, tu es obligé de vidé ton sac, poche etc.&nbsp;&nbsp; C’est beau.



&nbsp;








yvan a écrit :



Il s’agit de l’age pour la collecte des données personnelles en ligne sans autorisation parentale, rien à voir avec l’age auquel tu as le droit de surfer ou coder si j’ai bien compris.







Je vois ce que tu veux dire, mais ce qui m’ennuyait, c’était de parler du monde numérique limité que pour une seule chose (l’accès des enfants aux moyens de communication)









FINGOLIN37 a écrit :



Dans les présentations que j’ai eu de la RGPD, nous avons aussi demandé “que faire des données personnelles qui doivent être garder avec une durée légale déjà définie ?”. Les éditeurs nous ont répondu qu’elles devaient continuer à être conservées et l’utilisateur ne peut pas demander la suppression car elles sont conservées dans un contexte précis et légal.

L’important, de ce que j’ai réussi à comprendre de cette RGPD complexe, c’est d’avoir une “cartographie” bien détaillé de quelles données personnelles nous disposons, de comment elles sont gérées (accès, …),protégées et supprimer lorsqu’elles doivent l’être. Et il faut bien sûr avoir aussi définit un “référent RGPD” pour garantir la MAJ régulière de cette “cartographie”.

Nous n’avons pas encore trop creusé au final car nous sommes très peu concernés, nous avons des données personnelles basiques :&nbsp; données salariés dont la plupart sont aussi concernées par une conservation légale. On doit encore rencontrer quelques prestataires spécialisées pour faire un audit en bonne et due forme pour être conforme à cette RGPD.







Merci pour ces précisions …. Mais du coup comment choisissez vous votre prestataire d’audit ? parce que comme je disais certains vont surement en profiter pour faire des reco disproportionnée pour faire acheter en boite de la presta de mise en conformité …



C’est certain, on n’a pratiquement jamais autant été démarché qu’aujourd’hui. <img data-src=" />

Concernant l’aspect légal qui prend le dessus, pour le moment on n’a aucune info dessus.

Les fameux consultants nous parlent de “pseudonimisation”, on n’efface plus la personne mais au lieu de M Dupont, ça devient m. Trucmuche, avec une adresse fantaisiste et j’en passe.

Bref, on a des données, mais inexploitables, et on est incapable de ressortir des infos géographiques comme ça nous est demandé.

Beaucoup, beaucoup (trop) de flou pour le moment…



@yvan&gt; Le truc c’est que auras beau avoir quelqu’un de “dédié” à ça, tout pendant qu’on reçoit des infos contradictoires il ne pourra pas faire grand chose malheureusement.

Faire évoluer le traitement des données personnelles c’est une bonne chose, mais encore faut-il que le donneur d’ordre sache ce qu’il veuille. ;)








Furax a écrit :



C’est certain, on n’a pratiquement jamais autant été démarché qu’aujourd’hui. <img data-src=" />

Concernant l’aspect légal qui prend le dessus, pour le moment on n’a aucune info dessus.

Les fameux consultants nous parlent de “pseudonimisation”, on n’efface plus la personne mais au lieu de M Dupont, ça devient m. Trucmuche, avec une adresse fantaisiste et j’en passe.

Bref, on a des données, mais inexploitables, et on est incapable de ressortir des infos géographiques comme ça nous est demandé.

Beaucoup, beaucoup (trop) de flou pour le moment…



@yvan&gt; Le truc c’est que auras beau avoir quelqu’un de “dédié” à ça, tout pendant qu’on reçoit des infos contradictoires il ne pourra pas faire grand chose malheureusement.

Faire évoluer le traitement des données personnelles c’est une bonne chose, mais encore faut-il que le donneur d’ordre sache ce qu’il veuille. ;)







J’ai pas lu la loi mais juste des articles et quelques write-up. La pseudominisation comme tu la décris me semble inutile. Je te donne ma compréhension de la chose ça vaut ce que ça vaut. Déjà tu ne dois manipuler des données personnelles qui sont utile&nbsp; pour une finalité bien défini. Par exemple pas question pour une boutique en ligne de manipuler et de stocker le numéro de sécurité sociale.



Concernant la pseudonimisation en faite l’objectif est à mon sens d’améliorer la centralisation et l’inventaire de donner. Le soucis à l’heure actuelle c’est que les données perso sont éparpillé dans les caches des applications , les journaux d’activités des applications, des proxy , sur les postes des admins , dans les environnements de test.



L’idée de la pseudonimasation est à mon avis de centraliser les données autant que possible et utilisé un sorte d’ID dans les journaux d’acrivitié &nbsp; pour faire références à l’utilisateur sans pour autant pouvoir l’identifié.



Par exemple au lieu d’avoir dans ta base de données quelque chose comme ça



| Monsieur tartanpion| Marié | 15 rue trifouillouies des oies|



Tu aurais



| UserID1| Monsieur Tartanpion | Marié |15&nbsp; rue trifouilles des oies |



Et tu utiliserais UserID1&nbsp; dans les journaux d’activités ou les caches d’application comme&nbsp; identifiant pour récupérer les données . C’est pas mal car cet identifiant permet de retrouver les informations personnels&nbsp; dans la base de données mais ne permet pas d’identifer une personne en cas de fuite.



J’ai aussi entendu parlé de cette histoire de changer les informations personnels mais je trouve que c’est complètement con …. C’est utile seulement pour faire des jeux de test pour tester les applications avant mise en prod à mon avis.



Ptain la branlette de consultant quoi <img data-src=" />



Totalement d’accord avec ton commentaire concernant les consultants, qui vont s’en donner à cœur joie.

Il faudra être très vigilant car les charlatans vont aussi être de la partie. :)



Concernant la&nbsp;pseudonimasation, je pense qu’il faudra attendre quelque chose de clair dans la loi, car entre “effacer les traces d’un utilisateur”, ou juste ajouter un pseudo en plus concernant son enregistrement dans une BDD, y’a un monde on va dire.Perso quand je demande à être “effacé” d’une base, je demande à être effacer, pas qu’on mette un booléen à true dans mon enregistrement. <img data-src=" />








Furax a écrit :



Totalement d’accord avec ton commentaire concernant les consultants, qui vont s’en donner à cœur joie.

Il faudra être très vigilant car les charlatans vont aussi être de la partie. :)



Concernant la&nbsp;pseudonimasation, je pense qu’il faudra attendre quelque chose de clair dans la loi, car entre “effacer les traces d’un utilisateur”, ou juste ajouter un pseudo en plus concernant son enregistrement dans une BDD, y’a un monde on va dire.Perso quand je demande à être “effacé” d’une base, je demande à être effacer, pas qu’on mette un booléen à true dans mon enregistrement. <img data-src=" />







Je pense que pour des explications claire dans la loi tu peux aller te brosser :) ce sera flou pour etre applicable .



Après l’effacement des données perso est plus facile si toutes les données sont dans une base centralisée et si les applis manipule un&nbsp; “pseudo” qui fait référence à un utilisateur plutot que d’utiliser des identifiant nominatifs directement&nbsp;



On verra :)