Projet de loi RGPD : les sénateurs vont bien saisir le Conseil constitutionnel

Projet de loi RGPD : les sénateurs vont bien saisir le Conseil constitutionnel

IFP en PLS

Avatar de l'auteur
Marc Rees

Publié dans

Droit

15/05/2018 3 minutes
58

Projet de loi RGPD : les sénateurs vont bien saisir le Conseil constitutionnel

Le projet de loi sur les données personnelles a été adopté en lecture définitive hier par les députés. Au Sénat, la rapporteure du texte Sophie Joissains comme Philippe Bas, président de la commission des lois, nous confirment que le Conseil constitutionnel va bien être saisi.

Alors que la date butoir du 25 mai arrive à grands pas, la saisine du Conseil constitutionnel dépasse le stade de la simple menace. Philippe Bas nous a confirmé aujourd'hui que le Conseil constitutionnel allait être saisi. « La saisine est en cours de rédaction » a commenté le président LR de la commission des lois.

Même réponse auprès de Sophie Joissains, la sénatrice Union centriste qui fut rapporteure du texte : « Le Conseil constitutionnel va être saisi. Je ne sais encore comment les groupes vont s’organiser ou bien si nous allons nous contenter de 60 sénateurs, mais un recours va être déposé ». 

Une pluie de reproches

Les reproches sont connus, la parlementaire dénonçant un « recul des libertés notamment en matière pénale » ou encore la situation des collectivités locales qui ont l’obligation de gérer d’importants fichiers tout en se trouvant confrontées à un risque de sanction.

Ces collectivités « se retrouvent dans la même position que les entreprises. Elles sont pourtant plus comparables à l’État qu’à une startup, ne serait-ce parce qu’elles ne choisissent pas de traiter les données personnelles ». Autre reproche, la question sensible des décisions individuelles prises « sur le seul fondement d’un traitement automatisé de données à caractère personnel, y compris le profilage ». 

Commentaire sur ce point : « nous regrettons que notre solution de compromis n’ait pas été acceptée. Des explications pourront être demandées, mais les algorithmes ne seront pas publiés ».

Le respect de l'agenda du 25 mai

Sauf urgence, le délai de saisine – le Conseil constitutionnel dispose en principe d’un délai d'un mois pour statuer – ne permettra pas de garantir l’échéance du 25 mai. Mais pour la sénatrice, ce n’est pas vraiment problématique. « Le Conseil est conscient des impératifs et rien n'empêchera le RGPD au 25 mai, le règlement étant d’application immédiate ».

Isabelle Falque-Pierrotin avait cependant considéré que la France avait un « objectif opérationnel absolu. Il faut que la loi soit finalisée avant le 25 mai. Si elle ne l’est pas, l’insertion de la CNIL dans la coopération européenne sera très difficile ». Le projet de loi organise en effet toute la mécanique de collaboration entre les autorités compétentes, qu’elles soient chefs de file ou non d’un traitement étalé sur plusieurs pays. Le projet de loi prévoit enfin une vingtaine de décrets d'application. Il serait donc très surprenant que les vœux de la CNIL soient exaucés. 

58

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Une pluie de reproches

Le respect de l'agenda du 25 mai

Commentaires (58)


Extrait exclusif de la saisine en cours de rédaction :





Nous, sénateurs, trouvons scandaleux que nos électeurs puissent bénéficier du droit fondamental à la vie privée, mais que si un tiers, dont nous mêmes, nous le bafouons, nous aurons à en assumer les conséquence. Cela va à l’encontre des intérêts de nos amis qui nous confient des missions de conseil et nous embauchent en fin de mandat !





(Source : Internet.)


Vivement que le Sénat se fasse nettoyer comme l’Assemblée Nationale…


Je ne comprends pas toute cette gesticulation.



 Le règlement est bien d’application directe et immédiate au 25/05/2018. Il ne s’agit pas d’une directive qui prévoit une certaine latitude dans la façon dont elle sera transposée dans chaque droit national.



En quoi ce qu’on écrirait dans la loi française pourrait permettre d’y échapper ?


Je ne vois pas en quoi on peut reprocher le sénat de saisir le conseil constitutionnel. Ce n’est visiblement pas de l’obstruction parlementaire, ils ont de vrais griefs, et personnellement, je préfère avoir une loi constitutionnelle qu’une loi qui sorte rapidement.



On peut reprocher certaines choses au sénat, mais ici, je ne vois pas.


L’élection de 2017 ressemble quand même furieusement à un coup d’état…. ne t’en déplaise !








AlphaBeta a écrit :



L’élection de 2017 ressemble quand même furieusement à un coup d’état…. ne t’en déplaise !







MOUAHAHAH



Visiblement, la 2e partie de ton pseudo te va toujours aussi bien…









Yach a écrit :



Je ne comprends pas toute cette gesticulation.

 Le règlement est bien d’application directe et immédiate au 25/05/2018. Il ne s’agit pas d’une directive qui prévoit une certaine latitude dans la façon dont elle sera transposée dans chaque droit national.

En quoi ce qu’on écrirait dans la loi française pourrait permettre d’y échapper ?







Oui tout à fait mais qq points peuvent adaptés avec plus ou moins de latitude dans chaque législation nationale

C’est pour ça, qu’il y a un projet de loi en plus.









ytterbium a écrit :



Je ne vois pas en quoi on peut reprocher le sénat de saisir le conseil constitutionnel. Ce n’est visiblement pas de l’obstruction parlementaire, ils ont de vrais griefs, et personnellement, je préfère avoir une loi constitutionnelle qu’une loi qui sorte rapidement.



On peut reprocher certaines choses au sénat, mais ici, je ne vois pas.







Bien sur mais c’est le Sénat qui tente d’affaiblir un certain nombre de dispositions.



c’est quoi une fille cornée ?


Une démone, une succube ??


ou une simple chêvre dans certaines contrées <img data-src=" />








Yach a écrit :



Je ne comprends pas toute cette gesticulation.



&nbsp;Le règlement est bien d’application directe et immédiate au 25/05/2018. Il ne s’agit pas d’une directive qui prévoit une certaine latitude dans la façon dont elle sera transposée dans chaque droit national.



En quoi ce qu’on écrirait dans la loi française pourrait permettre d’y échapper ?





Le PJL




  1. adapte le droit français à la nouvelle contrainte EU

  2. active plusieurs options ouvertes par le règlement (les “marges de manoeuvre” prévue par le RGPD)





Sauf urgence, le délai de saisine – le Conseil constitutionnel dispose

en principe d’un délai d’un mois pour statuer – ne permettra pas de

garantir l’échéance du 25 mai. Mais pour la sénatrice, ce n’est pas

vraiment problématique. «&nbsp;Le Conseil est conscient des impératifs et rien n’empêchera&nbsp;le RGPD au 25 mai, le règlement étant d’application immédiate&nbsp;».





Donc admettons que le CC se prononce le 15 juin : du 25 mai au 15 juin, on applique le RGPD européen, et ensuite on applique la version française ?



Sinon, qu’attendent les sénateurs ? Est-ce que les points soulevés font partie des marges prévues par le texte européen ? Il se prononce sur une différenciation collectivités/entreprises ou pas ? (je n’ai pas le souvenir d’avoir lu quelque chose qui va dans ce sens). De toute façon pour l’utilisateur final, je ne vois pas ce que cela pourrait changer : si on peut fermer son compte facebook ou youtube, je ne pense pas qu’on puisse faire pareil avec un compte géré par une collectivité sous prétexte qu’elle maniuple nos données. A moins de demander aux impôts de clôturer notre compte ? <img data-src=" />



&nbsp;Donc au final on sera bien obligé d’accepter ce traitement… Personnellement, j’ai déjà été dans ce cas, quand à Paris il y a eu la nouvelle vignette Crit’air, il fallait obligatoirement la commander sur leur site, et donc donner des infos perso + accepter les CGU. Mais vu qu’on risquait une amende si on n’avait pas la vignette, à quoi bon demander l’acceptation de quelque chose qui est obligatoire pour éviter la prune ? <img data-src=" />








ytterbium a écrit :



Je ne vois pas en quoi on peut reprocher le sénat de saisir le conseil constitutionnel. Ce n’est visiblement pas de l’obstruction parlementaire, ils ont de vrais griefs, et personnellement, je préfère avoir une loi constitutionnelle qu’une loi qui sorte rapidement.



On peut reprocher certaines choses au sénat, mais ici, je ne vois pas.





Exactement. On peut regretter malheureusement que, pour l’Assemblée nationale actuelle, les droits fondamentaux semblent moins concrets que le principe de réalité : « Les droits fondamentaux, ça n’est pas dans l’éther. Les droits fondamentaux c’est sur les trottoirs du boulevard de la Villette ! » Jacques Toubon (Défenseur des Droits) devant les députés, le 11 avril 2018



Personnellement, à part le point sur les collectivités territoriales (et je ne vois pas pourquoi elles seraient dispensée de sanction si elle font n’importe quoi), je ne vois pas où est l’affaiblissement du texte voulu par le Sénat.

Les points soulevés par le Sénat, relevés ici concernent la prise de décision sur base d’un traitement automatisé, l’effacement des données dans un fichier judiciaire et l’accès aux différents fichiers.

Sur ces points, les positions du Sénat sont toutes en faveur d’un plus grand contrôle des données et de la protection de la vie privée.


M’est avis que c’est plus les ministères que les collectivités locales qu doivent flipper… Rien que le ministère de l”Intérieur, qui se trimballe des dizaines de fichiers illégaux, car pas à jour, car pas sécurisés (tous les flics y ont accès,…). Mais encore faudrait-il les attaquer pour faire la lumière là dessus…


En fait les collectivités sont déjà passibles de sanctions si elles font n’importe quoi… qui vont jusqu’à la mise sous tutelle du préfet.



Le sénat est issu des petites collectivités pour beaucoup et je comprend bien que le surcout de redévelopper/modifier tous les progiciels publics + payer des référents données publiques alors que de manière évidente une collectivité n’a pas pour objet un usage hostile de ces données est idiot. Profondément dispendieux même pour des grosses structures comme des régions/départements/agglos.



Ceci sans compter que les SI publics des collectivités vont se retrouver pris en tenaille entre la demande des citoyens d’être connus et identifiés en ligne une seule fois (pas une fois à la bibliothèque, une autre aux archives, une autre pour le dossier handicap de papy, une autre pour la scolarité des enfants, une autre pour la réclamation aux espaces verts, une autre pour le centre aéré, une autre pour la tombe de mamie, une autre pour le renouvellement des passeports, une autre pour l’assainissement, une autre pour les permis de construire, une autre pour l’association de danse, une autre pour les élections etc. comme actuellement. Oui c’est long le nombre de missions d’une collectivité <img data-src=" />) et l’obligation légale de tout archiver/détruire automatiquement quand les données ne sont plus utiles en cloisonnant bien les données par grand domaine comme ordonné par le CNIL.



Ceci sans compter l’autre obligation légale de tout archiver pour la recherche historique en archives du fonctionnement administratif certaines années. C’est quand même effectivement plutôt une mauvaise idée d’avoir inclus les administrations dans le RGPD qui ont vraiment un autre fonctionnement que le privé.



Au final ça n’empêche ni les usages hostiles de ces données super sensibles (politiques, religieuses, médicales, raciales très souvent) ni ça n’améliore le service administratif rendu au public (si tu touches le RSA tu ne vas pas exercer ton droit à l’oubli et refaire ton dossier juste derrière…) tout en compliquant tout, et notamment l’analyse à l’échelle d’un mandat du bilan d’une action politique.








yvan a écrit :



alors que de manière évidente une collectivité n’a pas pour objet un usage hostile de ces données





À Béziers où le maire comptait les supposés musulmans des écoles primaires d’après les prénoms, je ne suis pas sûr que ce décompte soit fait pour un usage pacifique !



Moi je suis certain que le RGPD n’empêche pas cela.



Ni de lister tous les handicapés mentaux du CCAS pour les gazer dans le four de la cantine municipale… (soyons optimistes/diffamatoires/grinçants <img data-src=" />)



Le RGPD ne joue pas sur les données d’état civil des collectivités, Mr Muhamad Abdallah aura toujours son nom et son adresse de connues dans la mairie et ses liens familiaux seront conservés dans le SI jusqu’à plusieurs décennies après sa mort même si ses filles mariées s’appellent bernadette dupont et cunégonde de la gillardière.



Et il n’en reste pas moins que maire facho ou pas, l’objet des fichiers d’état civil n’est nullement de nuire à certaines personnes sur des critères racistes et si ce maire s’entête trop sur ce sujet il aura contrôle conformité CNIL et éventuellement mise sous tutelle de son blanc pays par la préfecture. Ce qui n’est pas prévu (la mise sous tutelle) pour le privé qui ferait la même chose.


De ce que je comprends en lisant l’article, certains sénateurs semblent dire que les collectivités risquent maintenant des sanction suite à la loi sur le RGPD .



Un règlement n’ a jamais empêché de faire quelque chose, il permet de sanctionner si on fait quelque chose interdit.



Edit : je ne parlais pas des fichiers d’état civil, mais des fichiers d’inscription à l’école primaire.


Tu as des données d’état civil dans 99% des fichiers avec traitement nominatif dans une collectivité.



A part peut être sur les site web d’archives ou de bibliothèques ou tu autorises l’inscription uniquement avec un email sinon c’est généralement une obligation légale.


Et sinon mon propos n’est pas de dire qu’il ne faut aucune contrainte légale pour les fichiers publics.



Je suis personnellement pour la disparition des infos de genre des 99% de cas où elles sont inutiles par exemple.



Mais clairement les aides sociales dépendant énormément les unes des autres (voir de partenaires non collectivités comme des privés ou la CAF) et de critères de profilage individuel dans les critères d’attribution et les règles des archives nationales impliquant qu’on aura toujours quelque part les infos permettant dans tous les cas imaginables de faire un usage nuisible des données je doute fortement de la pertinence d’appliquer un régime privé commercial aux données des collectivités.



Ou alors il aurait fallu commencer par licencier les centaines de milliers d’assistants sociaux qu’on a si un simple formulaire web peut déclencher l’attribution d’une aide sans accompagnement ni profilage.


Je vais dire une très très grosse connerie, France connect?


Personnellement je vous trois raisons à cette gesticulation:





  • Bien qu’il s’agisse d’un règlement qui a vocation à s’appliquer directement, le RGPD laisse dans certains cas une certaine marge de manoeuvre législative aux Etats-Membres. Il faut donc remplir les zones blanches laissées par le règlement.



  • Certaines dispositions sont relativement sensibles et ne font pas plaisir au législateur de l’Etat-Membre: il faut donc essayer d’étendre au maximum les zones grises afin de limiter ces dispositions. C’est déjà moins noble.



  • C’est frustrant pour les députés de voir que l’UE puisse créer et mettre en application un règlement qui a un impact fondamental sur la société. Il faut donc se greffer dessus afin de pouvoir aussi tirer les marrons du feu ou préserver son statut.



    Ce qui me gêne le plus c’est que l’Etat est à peu près aussi prévoyant que certaines entreprises: ça fait des années que le règlement a été discuté, voté et que la date d’entrée en vigueur est fixée. Cependant, il faut quand même tout faire en urgence et en retard par manque de planification.


Si on prend une approche différente, le risque lié au traitement des données personnelles (légitime moralement et juridiquement mais c’est aussi souvent le cas pour les privés) n’est pas différent pour une collectivité publique ou un privé. Pourquoi accepter que ces collectivités ont la flemme alors qu’on oblige tous les autres?



Le RGPD ne prévoit pas l’interdiction de tout traitement de données personnelles. On peut justifier et envisager que des données soient échangées entre divers services du moment que les principes relatifs à la protection des données sont respectés.


Principalement parce qu’une base contact de mairie est 100 fois plus complexe qu’un fichier prospect/clients/facturation de boite privée et que ça implique que même si on nettoie l’info à un endroit elle est encore retrouvable ailleurs dans le SI donc c’est perdre son temps que d’automatiser sa disparition de parcelles du SI de la dite collectivité dans l’écrasante majorité des cas puisque ça ne protège en rien la vie privée (sachant que sur les données permettant un profilage “politique” type associatif, prêts en bibliothèques etc. il y a depuis des décennies des règles d’anonymisation des stats et de purge des fichiers de prêts, largement avant le RGPD).


Les collectivités ont effectivement des besoins et obligations particulières, mais ça ne les exonère pas pour autant. Je n’ai pas plus envie qu’une collectivité laisse mes données personnelles ouvertes à tout vent qu’une entreprise, et même les collectivités peuvent utiliser leur données pour des actions malveillantes (le fichage des musulmans à Bézier, le Big Brother marseillais…)



Je ne vois pas pourquoi les collectivités, qui gèrent des données bien plus sensibles, seraient dispensées de sanction, et donc encouragées au laxisme.


Et? ça ne s’applique qu’aux portails web en consultation, pas aux données métier des collectivités.



Généralement tu as entre 50 et 200 bases de données nominatives dans une collectivité selon sa taille et son status. Ce que font les collectivités c’est qu’elles déploient un logiciel qui permet de faire le lien entre une identification sur le portail web et les données métier de manière à ce qu’elles puissent présenter une interface unique aux administrés sans avoir à créer de lien ou à mutualiser les données métier de domaines différents (contrainte CNIL). Là il va falloir paramétrer que ces portails “oublient” le lien à la personne si elle ne consulte pas les données métier (genre le cadastre, ou payer la cantine) pendant quelques années et ensuite les gens viendront râler auprès de leur Maire qu’on les oblige à refaire les démarches autorisant le lien entre leurs comptes. C’est un vrai casse tête pour une collectivité locale ce genre de contraintes.



Sans compter que dans le domaine précis de l’action sociale c’est 100% de profilage, de “à la gueule du client” ce qui est normal vu le domaine donc appliquer une règle unique est stupide.



Et ça empêche aussi possiblement les élus de déployer de la business intelligence sans anonymisation préalable des données ce qui est complètement con puisque dans les mairies petites et moyennes les élus connaissent nominativement leurs administrés et ont donc une meilleure compréhension de leur territoire si les données ne sont pas anonymisées sachant que personne n’est anonyme dans une commune de 5000 habitants de toutes manières…



Je reste très dubitatif moi aussi sur l’application du droit commercial aux collectivités. L’idéologie actuelle veut que le service public soit juste une prestation commerciale faite par des fonctionnaires, je pense que c’est là qu’il faut chercher les raisons du RGPD pour les collectivités, pas dans la protection des données.


Non mais les règles déontologiques n’ont pas attendu le RGPD pour s’appliquer dans les administrations… en quoi sont elles laxistes actuellement? En quoi ce que fait Ménard à Bézier est légal? En quoi ce serait empêché par le RGPD? En quoi les collectivités partagent légalement les données avec n’importe qui?

Il faut être un peu concret surtout si on réfléchit à ces questions.


C’est le même problème que pour les entreprises : en soi, le RGPD n’apporte rien de nouveau, c’est surtout le niveau de sanction qui a augmenté.



Avant, beaucoup d’entreprises ne se préoccupait de la légalité de leur donnée, et préféraient prendre le risque de payer une amende que de s’en assurer.

C’est la même chose avec les collectivités. Ce qui fait réfléchir à deux fois, ce n’est pas que ce soit illégal, mais le niveau de sanction encourue. Des collectivités (ou même l’État) qui font des choses illégales, ça arrive régulièrement. Et quand il n’y a pas de sanction au bout, il n’y a aucun problème à recommencer. Quand tu risques de prendre une amende de plusieurs millions d’euros, tu hésites avant de faire n’importe quoi de tes données.


On ne réfléchit plus, on absorbe, dans …( orgie grand partage de datas)<img data-src=" /><img data-src=" />








bloossom a écrit :



Si on prend une approche différente, le risque lié au traitement des données personnelles (légitime moralement et juridiquement mais c’est aussi souvent le cas pour les privés) n’est pas différent pour une collectivité publique ou un privé. Pourquoi accepter que ces collectivités ont la flemme alors qu’on oblige tous les autres?





C’est pas une question de flemme, c’est une question de cout supplémentaire.



Le coût supplémentaire est le même pour les autres.



C’est pour cela que le coût des sanctions doit être dissuasif afin d’éviter des économies sur ce coût supplémentaire.


Ben voyons, c’est tellement facile d’insulter plutôt que de se poser les vrais questions : role des medias, role du parquet financier

Eliminations coordonnées des principaux opposants.

Enterrement en première classe des affaires de Macron autour du financement de sa campagne,

Soutien sans faille pour Macron

etc. etc. etc.



Ne t’en déplaise…. c’est bien un coup d’état !

Mais effectivement, l’histoire est réécrite par les vainqueurs !


Nous, sénateurs, trouvons scandaleux que nos électeurs puissent bénéficier du droit fondamental

à la vie privée, mais que si un tiers, dont nous mêmes, nous le bafouons, nous aurons à en assumer

les conséquence. Cela va à l’encontre des intérêts de nos amis qui nous confient des missions

de conseil et nous embauchent en fin de mandat !



en attendant, ils ne perdent pas le Nord ! <img data-src=" />


Heu si le RGPD apporte du nouveau, notamment l’obligation de nommer un correspondant (recrutement dès que tu as plein de données traitées) et de prévoir au niveau logiciel le stockage minimal des données. Ca signifie redévelopper tous les champs date par exemple pour coller au minimum légal refaire énormément de règles métier gérées en champs texte (typiquement l’action sociale, la prévention, l’insertion ce n’est que ça) et gérer la “disparition” des infos nominatives des fichiers de manières automatique.



Dans un fichier commercial privé tu peux faire des règles toutes con genre si ton prospect ne donne pas de nouvelles dans les deux ans tu lui envoie un mail et s’il ne se connecte pas dans le mois tu détruis son compte.

Dans une collectivité ce n’est pas la même vu le niveau d’imbrication des données et les règles archivistiques des archives nationales.



Pour le reste les amendes seront à la tête du client comme actuellement. Et ce qui coutait cher avec la CNIL ce n’était pas l’amende, c’était le temps humain passé par des informaticiens à recenser tous les traitements et à répondre au niveau de criticité, aux scénarios CNIL de détournement des fichiers, de perte des données etc. et leur mise en conformité ensuite.



Je suis d’accord sur le fait que les grosses amendes sont plus dissuasives dans le privé, mais elles sont à la tête du client les amendes donc il y a peu de chance qu’une collectivité ait des millions de sanction à payer parce qu’il y a peu de chance qu’elle soit de mauvaise foi (et si elle l’est il y a des chances que ce soit fait sur un poste de travail individuel par un employé de cabinet et pas par des fonctionnaires donc ce n’est pas la collectivité qui prendrait légalement).



Sur une collectivité de la taille d’une métropole ou d’un département on est sur un coût de mise en conformité qui va largement au delà. Juste recenser tous les traitements et lister les impacts tu as peut être cinq années homme de travail.

Ensuite il faut scripter l’anonymisation de toutes les bases recette, scripter les règles de disparition et d’archivage automatique, généralement revoir la politique de sécurité de l’accès aux locaux, possiblement construire ou muscler une deuxième salle blanche redondante etc. former des milliers d’agents en saisie, les dépanner quand les politiques de mot de passe deviennent abracadabrantesques (comme dans les recommandations CNIL).

Même une amende de 3 millions est en deçà du coût de mise en conformité pour les grosses collectivités.


Il n’y a actuellement aucune économie de faite sur les contraintes légales dans les collectivités et administrations.



Il y a par contre des économies faisables sur la paperasserie (principal résultat de la RGPD pour une administration) et le redéveloppement d’applis qui gèrent des données tellement sensibles que ce n’est pas le RGPD qui peut être garant des libertés mais uniquement les fonctionnaires.


Je parle après le 25 mai. Mais je vais arrêter d’argumenter avec toi : tu es manifestement pas neutre, vu les précisions que tu apportes. Tu es partie prenante du côté des collectivités.



D’ailleurs, peux-tu me dire ce qu’on fait les collectivités pour préparer l’arrivée du RGPD pendant les un peu plus de 2 ans qui ont suivi son adoption ?


Ca dépend des collectivités.

Je dirais qu’aucune n’est prête à 100% parce que quasi tout est géré par des progiciels et que les fournisseurs de ces progiciels sont rares à être prêts. Donc soit il faut redévelopper tout et ça va absorber le budget des collectivités pour les dix ans à venir soit ça va être comme actuellement, tout le monde fait au mieux et la CNIL est compréhensive (genre certification ISO, l’essentiel est de s’améliorer <img data-src=" />).

Le principal truc qui a bougé ce sont les explosions de frais de prestations avec des boites qui se sont montées exprès pour gérer tout ça en externe avec des experts autoproclamés référent RGPD qui feront des rapports pour rassurer ou dédouaner les élus et des directeurs <img data-src=" />

Ca a déjà coûté une blinde (pour quasi rien selon moi) donc.



Et puisque tu en parles je vais être transparent : Actuellement je bosse dans un département (700bases de données dont plus de 200 de prod, 100 profils utilisateurs avec des droits différents pour la plus grosse appli pour donner une idée du gâchis paperassier que ça va être juste d’évaluer toutes les fuites/pertes/détournements de données possibles et peut être 200 écrans front à redévelopper+ toutes les interfaces derrière avec la police, la CAF, l’ursaff, les RAM, les presta privés à revoir pour virer les dates trop précises et les champs textes…) et les données les plus sensibles (médicales) sont dans une GED, donc impossible à traiter au document puisque non OCRisées/isables… (sauf à vouloir payer des médecins à faire du secrétariat d’archives <img data-src=" /> )

On va perdre beaucoup de temps et d’énergie je pense pour un changement nul côté citoyen. On le connait de sa naissance à sa mort et entre la gestion de la protection de l’enfance qui fait qu’on doit savoir qui s’est occupé d’un gosse des fois qu’il porte plainte adulte et le fait que les gens ne vont pas se désinscrire du RSA ou des allocations handicap/vieillesse pour le LOL on a juste aucune info qu’il est pertinente d’archiver pour protéger la vie privée à part sur les points de détail (genre les dates dont je parlais avant qu’on peut réduire à l’année de naissance souvent) que le RGPD va nous obliger à prendre en compte. Et les descriptifs “champs textes” onnis du RGPD, dans le traitement des dossiers d’action sociale il est probable qu’ils repassent en papier parce que les professionnels ont besoin des infos pour bosser. Et le papier n’est pas dans le RGPD \o/



Je peux comparer à des bases d’action commerciale ou des portails de vente web privé comme je faisais avant, le niveau de complexité n’a rien à voir, un portail d’ecommerce ou de billetterie en ligne le modèle de données est trivial à côté d’une administration.



En gros avec ce truc on aura bien perdu du temps et de l’énergie alors que s’il devait y avoir un usage hostile des données il aurait eu lieu de longue date. Quand tu sais où vit une personne, son patrimoine, son rib, l’adresse de sa famille, son niveau de GIR et à quelle heure passent ses aides à domicile elle est à ta merci, conformité RGPD ou pas.



C’est bien plus la destruction du statut de fonctionnaire (et de presta associatif d’aide à la personne) qui devrait inquiéter en termes de moralité vis à vis des données personnelles. A titre personnel on m’a déjà inclu dans des bases de publicité téléphonique ou mail après que je me sois inscrit à des sites marchands, jamais à des sites administratifs, c’est du coup paradoxalement ma boite mail la plus publique qui est la moins spammée… Le jour où ce sont des précaires qui font ça comme ils feraient des vendanges ou vendraient des canapés qui gèreront ces données ce ne sera pas la même. RGPD ou pas.



Je ne suis donc pas neutre mais j’ai l’avantage de savoir de quoi je parle ayant fait du privé marchand et du public, je vois bien qu’on n’est absolument pas sur les mêmes pratiques, complexités informatiques et enjeux.


Je ne vois toujours pas en quoi ça empêcherait de respecter les principes de la GDPR. A ce rythme là, c’est encore pire pour un gros acteur du net type facebook ou google qui doit modifier en profondeur son fonctionnement.



Le RGPD n’exclut d’ailleurs pas le fait que le cycle de vie et les mesures de protection prises ne soient pas adaptées aux missions et aux besoins de ces collectivités. C’est pareil pour tous les responsables du traitement.



Dire “c’est compliqué on ne veut pas traiter proprement les données personnelles qu’on stock” n’est pas un argument valable a mes yeux, peu importe le statut de l’entité qui le dit.



On les ferait appliquer seulement les principes de privacy by design et de privacy by default qu’il s’agirait déjà d’une belle amélioration.


Je pense que c’est avant tout une question de flemme (et c’est pareil pour les privés).



D’ailleurs, l’argument des coûts est identique pour les privés. C’est un peu frappant de se dire que l’on reconnaît que les données personnes ont une valeur, qu’elles peuvent créer des dommages importants aux personnes en question et qu’elles méritent donc une protection, mais que bon pour les collectivités publiques, elles n’ont pas si beaucoup de valeur et ne méritent pas de protection.


Horny girls dans le texte original je suppose… :p


C’est cher et inutile à appliquer. Ca ne fait pas de bonnes raisons?



Les données personnelles dans facebook ou google c’est juste le profil à gérer, le jour où tu coupes ton compte on qu’on te le sucre c’est fini le nominatif. A la limite s’il y a bien des acteurs logiciels qui depuis le début font du privacy by design c’est les géants du web, ne serai-ce que pour économiser leur stockage. Il n’y a -normalement- pas de données de profilage politique, religieux, de santé qui soit conservées dans le temps puisque leur but est de fournir de la pub à jour sur des profils à jour. Donc non c’est a priori moins complexe chez les géants du web (sans non plus connaitre le détail des infos qu’ils gèrent) car ils n’ont pas de problématique d’archivistique et d’interfaces entre eux.



Ce qui rend les choses complexes dans les collectivités ce sont les DUA. Ce qui rend les choses absurdes c’est que les collectivités n’ont pas vocation à monétiser ces infos et que les gens qui accèdent aux données font serment de ne pas les utiliser pour nuire aux administrés. Là c’est ceinture et bretelles sur le légal et en plus ça ne protège rien ni personne puisque comme dit avant les abus sont faits par des personnes déjà hors la loi sur les règles pré rgpd (qui se contrefoutent donc du RGPD). La thune qu’on va fouttre là dedans on ferait mieux de la filer à la CNIL et qu’elle multiplie les contrôles, c’est Kafkaïen comme situation, on va noyer la CNIL sous la paperasse et au mieux ça ne les ralentira pas dans leurs missions donc…



Après en France on adore jeter de la thune par les fenêtres et on aime bien les grosses peines judiciaires qui font peur même si elles servent à rien ou sont contre productives.

Ca fera au moins du boulot aux gros malins qui ont su s’insérer comme conseillers du dispositif.


La protection qu’elles ont c’est que ce sont des fonctionnaires qui s’en occupent + toutes les règles CNIL déjà appliquées (mais qui étaient des règles adaptées aux collectivités, pas des règles commerciales transposées pour raisons de comm ou par méconnaissance à tout acteur informatique).



Du coup c’est plus cher pour les collectivités qui ne sont pas soumises au droit commercial depuis le début de la création de leurs SI et n’ont donc pas pris en compte ces contraintes (et qui sont sur de vieilles technos, pas de l’objet + micro services comme dans le web qui sont plus faciles à faire évoluer). Et c’est pas plus cher pour les collectivités en fait, dans l’absolu on s’en fout niveau acteurs publics, c’est plus cher pour ta gueule parce que les sous que je dépense c’est tes impôts qui les paient <img data-src=" />



Et sinon dans l’absolu les données personnelles n’ont aucune valeur marchande pour les collectivités qui ne les revendent pas et n’ont quasi pas de services marchands concurrentiels à gérer sur lesquels l’exploitation de ces données pourrait présenter un avantage (à part les cantines, l’aide à domicile et les billetteries de sport/spectacle en gros… que des trucs fournis à perte aux administrés en France).

Elles ont de la valeur pour les vendeurs de pub et c’est pour ces acteurs que les règles RGPD ont été mises en place, pour des collectivités c’est absurde.


Bien qu’applicable dès le 25 mai à tous les états membres, le RGPD ne sera réellement applicable que si les états membres ont désigné en leur sein l’organisme de contrôle !



De fait, si le projet de loi de modification du rôle de la CNIL ne passe pas avant le 25 mai comme les états ont l’obligation de le faire selon le réglement, celui-ci sera difficilement applicable en france. (mais ça ne sera que provisoire)


Ayant travaillé dans une entreprise faisant des audits/diag I&L et maintenant RGPD. Je peux vous dire que c’est beaucoup d’argent jeter par les fenêtre et que personne n’est conforme. C’est quasi impossible d’être conforme en fait.



Faire une liste de traitements ne rends pas conforme.



Je rejoins Yvan, il faudrait financer les contrôles, la CNIL fait plutôt du bon travail, plus de moyen serait un plus.


Les collectivités publiques ne sont malheureusement pas vertueuses du tout en termes de protection des données qu’elles traitent (et ce peu importe le but, louable ou non).&nbsp; J’ai trop eu affaire à des services qui parce qu’ils sont liés à l’Etat considèrent qu’ils ne doivent pas protéger effectivement les données qu’ils stockent (d’ailleurs, celles-ci sont souvent sensibles): pire, les responsables sont souvent laxistes.



La complexité est relative, et je peux admettre que certaines questions soient plus compliquées chez les uns que chez les autres (les partenaires et les contrats avec les processeurs sont très difficiles à gérer pour les privés aussi). Dire que c’est difficile alors qu’on a eu des années pour s’y préparer et qu’on s’y met à la dernière c’est une excuse de sac a mieux et de la négligence au pire.



Je ne voit pas en quoi le fait que ces données soient traitées par des fonctionnaires réduit (ou d’ailleurs augmente) les risques relatif au traitement de ces données.



Le besoin d’une réglementation plus claire et plus protectrice dans ce domaine est clair et limpide, de même que l’insuffisance du cadre législatif actuel. Non, les règles déjà (et souvent mal) appliquées ne suffisent pas.



Au cas où ça t’aurait échappé, la valeur marchande pour celui qui collecte les données n’est qu’un petit élément particulier d’un cycle de protection bien plus vaste (peu importe d’ailleurs, ce qui compte plus c’est le risque de voir ces données partir dans la nature dans lequel privé et collectivités publiques sont à égalité). Tout le cycle de vie des données doit être sécurisé et des mesures doivent être prises. Hors de question que parce qu’il s’agit d’une collectivité publique, mes données soient stockées sans mesures de sécurité et accessibles à tout va par des curieux ou des malhonnêtes.



L’argument du coût est absurde: les règles sur les conditions de travail des employés de ces collectivités font qu’elles me coûtent plus cher en tant que contribuable: c’est dans une mesure raisonnable normal (et c’est identique: la GDPR exige des mesures de protection appropriées).



Dire “on n’a pas besoin de protéger les données parce qu’on a des bonnes intentions” ne me convient pas








bloossom a écrit :



Hors de question que parce qu’il s’agit d’une collectivité publique, mes données soient stockées sans mesures de sécurité et accessibles à tout va par des curieux ou des malhonnêtes.





Tu as des exemples concrets de ça? De données accessibles par des curieux sur un SI public? Où? Quoi? Comment? Quand?



Parce que des SI publics consultables sans contrôle d’accès aux locaux puis sur l’ordi il n’y a plus depuis 15-20 ans (comme dans le privé avec l’arrivée des réseaux type AD) et des fichiers nominatifs qui transitent par mail ou http il y a dix ans je veux bien, aujourd’hui c’est généralement très rare et interdit par les RSI dès que c’est détecté.



Pour le reste le statut de fonctionnaire te permet de dire non à un élu mal intentionné sans qu’il puisse détruire ta vie en te foutant à la porte donc oui c’est la principale protection contre un mésusage des données (et là par contre j’ai plein d’exemples d’élus complètement barrés avec les listings) et représente un engagement moral vis à vis des citoyens qu’un privé n’a pas (et donne un droit de retrait légal qu’un privé n’a pas à ma connaissance).

Par exemple si tu es viré pour faute grave sur les données personnelles dans le privé tu peux bosser le lendemain sur d’autres bases de données privées. Dans le public si tu perds ton statut de fonctionnaire c’est fini pour bosser directement sur des données publiques.



Sinon j’ai l’impression que ce que tu déplores c’est l’absence de contrôles du cadre légal, pas son insuffisance. Après je ne connais pas toutes les collectivités de France non plus mais le cadre légal actuel est largement suffisant (s’il est appliqué on est d’accord) et surtout bien plus adapté.









bloossom a écrit :



L’argument du coût est absurde: les règles sur les conditions de travail des employés de ces collectivités font qu’elles me coûtent plus cher en tant que contribuable: c’est dans une mesure raisonnable normal (et c’est identique: la GDPR exige des mesures de protection appropriées).





Ce n’est pas absurde de faire un bon usage des deniers publics non.



Et ce que tu affirmes sur le coût du personnel est loin d’être vrai dans tous les domaines et certainement pas dans la territoriale qui n’emploie quasi que des catégories C (des gens payés au smic pendant 10ans quand on les recrute).

A titre perso tout ce que je sous traite coûte entre deux et cinq fois plus cher que si je le fais moi même.

Mais c’est pas la même ligne de budget, moi je suis sur du fonctionnement (pas bien) et les prestataires sur de l’investissement (100% start up nation friendly)…









yvan a écrit :



Tu as des exemples concrets de ça? De données accessibles par des curieux sur un SI public? Où? Quoi? Comment? Quand? …



L’exemple qui me vient en tête : les fichiers de police (fichier STIC au premier chef) rarement mis à jour et que tout agent de police peut consulter sans véritables contrôles. D’une manière générale, même si une collectivité locale ou l’État n’a pas les mêmes enjeux qu’une société commerciale ou une association loi 1901, et même s’il faut reconnaître une certaine loyauté consacrée par le statut de fonctionnaire envers les administrés et la chose publique, j’ai cru comprendre que le problème posé par les Sénateurs était moins la complexité de l’application du RGPD aux Collectivités locales que l’injustice financière des sanctions pécuniaires et le flou de leur application auprès des institutions publiques locales et de leurs sous-traitants (si j’ai bien compris le peu de débats que j’ai pu suivre).&nbsp;









Radithor a écrit :



L’exemple qui me vient en tête : les fichiers de police (fichier STIC au premier chef) rarement mis à jour et que tout agent de police peut consulter sans véritables contrôles.





Je t’arrête tout de suite c’est l’état, c’est hors RGPD, et ce n’est pas accessible aux curieux (ou vraiment pas facilement, je t’invite à essayer <img data-src=" />).



Pour le reste il y a un article NXI plus récent sur le sujet qui détaille la saisine au conseil constitutionnel faite par les sénateurs <img data-src=" />









yvan a écrit :



Je t’arrête tout de suite c’est l’état, c’est hors RGPD, et ce n’est pas accessible aux curieux (ou vraiment pas facilement, je t’invite à essayer <img data-src=" />).







Oui, je répondais seulement à la question posée à Bloossom. Et je le redis : les fichiers de police ne sont suffisamment mis à jour et beaucoup trop de gens (fussent-ils assermentés policiers) ont trop librement accès aux données (souvent fausses) de n’importe qui. Et c’est un problème. Le fichier STIC est emblématique à ce sujet (cf les articles de Jean-Marc Manach). Je sais bien que la France tend à devenir un état policier et qu’il faudrait faire confiance aveuglement aux pouvoirs publics comme tout bon citoyen honnête, mais ça n’empêche pas la critique du système.



Une rapide recherche sur NXI démontre que les leaks existent tout autant chez les privés que dans le public.



Tu restes focalisé sur un aspect particulier de la réglementation. C’est pas juste l’opérateur et son statut (d’ailleurs, le responsable sécurité a tout intérêt à combler une faille et proposer des solutions efficaces, tout comme son chef a intérêt à l’accepter grâce aux avancées de la GDPR) qui garantissent un traitement propre et équitable mais l’ensemble du cycle de vie de la donnée. Bien trop souvent, parce que ça coûte, que ça demande du temps et de l’énergie, et que la personne concernée n’a pas la possibilité de changer de collectivité publique,&nbsp; celle-ci renonce simplement à adopter des mesures strictes et efficaces.



D’ailleurs, l’efficacité et l’optimisation sont tout aussi essentiels avec les deniers publiques, q’avec des deniers privés. En effet, le gaspillage de ressources guette et il n’y a aucune distinction valable entre privé et public sur ce point particulier.



Concernant la sous-traitance, tu peux remplacer ça par les règles relatives à l’environnement, ou toute autre réglementation: Toute la régulation a un coût d’implémentation. Je persiste, il n’y a aucune raison valable de créer un régime particulier pour le public puisque le risque de leak pour le sujet est pareil. D’ailleurs, tes employés sont payés selon le cadre légal: Je ne suis pas favorable au fait qu’ils soient peu payés, mais le fait qu’il y ait un seuil démontre bien que celui-ci coûte quelque chose à la société, et que donc le bien juridiquement protégé à avoir un salaire minimal a un coût d’implémentation (et c’est très bien).



D’ailleurs au fonds le débat est biaisé: si les collectivités (comme les entreprises privées) avaient fait leur boulot et s’étaient préparées au lieu de trainer des pieds en disant que c’était trop dur, elles seraient prêtes. Les exigences actuelles ne sont pas si éloignées de celle du RGPD.

Je refuse d’être plus complaisant en ce qui concerne mes données personnelles vis à vis du public que du privé parce qu’il n’y a aucune raison pour que celui-ci soit moins astreint à les protéger.



ps. Si ces élucubrations sur le statut du fonctionnaire sont vraisemblables, elles pourraient être prises en compte selon la GDPR dans l’étude de l’impact du traitement. Personne ne conteste que certaines particularités du public puissent être prises en compte (je pense notamment aux motifs justificatifs du traitement par exemple, ou à l’étendue du traitement): par contre il faut qu’elles soient pertinentes.



Si l’organisation de la collectivité publique en matière de protection des données personnelles est au dessus de tout soupçons, elle est compliant avec la GDPR et ne pose pas de problème ni n’induit de coût supplémentaires.








bloossom a écrit :



Une rapide recherche sur NXI démontre que les leaks existent tout autant chez les privés que dans le public.





Vraiment? Une consultation régulière de Zataz donne l’image inverse… As tu un exemple précis, et qui concerne les collectivités, pas “le public”.







bloossom a écrit :



ps. Si ces élucubrations sur le statut du fonctionnaire sont vraisemblables, elles pourraient être prises en compte selon la GDPR dans l’étude de l’impact du traitement. Personne ne conteste que certaines particularités du public puissent être prises en compte (je pense notamment aux motifs justificatifs du traitement par exemple, ou à l’étendue du traitement): par contre il faut qu’elles soient pertinentes.





Merci pour les élucubrations, elles sont effectivement prises en compte actuellement par la CNIL. C’est à peu près l’ensemble de mon explication sur le privacy by design qui est hors d’atteinte pour le public -parce que pour l’instant donnée manipulée par un fonctionnaire = donnée sécurisée- qui repose là dessus…







bloossom a écrit :



Si l’organisation de la collectivité publique en matière de protection des données personnelles est au dessus de tout soupçons, elle est compliant avec la GDPR et ne pose pas de problème ni n’induit de coût supplémentaires.





Aucune structure dont le SI a plus de 15 ans n’est compatible avec ces nouvelles exigences qui sont taillées pour l’e-commerce, pas pour des SI hérités de la mini et/ou de la micro informatique. (tu sais l’époque ou chiffrer un mot de passe n’avait aucun sens).

La mise en conformité de développements effectués à l’origine en progres, en 4D, en C ou en Cobol sur Oracle va couter des milliards. Prétendre que le privacy by design n’implique pas de problèmes ou de surcout c’est surtout prouver qu’on n’a pas compris le contenu de ces lois.

Et prétendre que le traitement algorithmique de l’archivage met les données personnelles en sécurité est également une belle tarte à la crème.



Heu non tu répondais à moi, et sur le RGPD <img data-src=" /> donc pas sur les fichiers policiers qui relèvent d’autres régimes juridiques (et qui sont bien merdiques niveau qualité des données effectivement de ce que j’en ai compris).


Oui c’est votre question posée à Bloossom. C’est bien ce que j’ai dit. Et votre question était :&nbsp;«&nbsp;Tu as des exemples concrets de ça? De données accessibles par des curieux sur un SI public? Où? Quoi? Comment? Quand? …&nbsp;&nbsp;»&nbsp;le Fichier STIC est un exemple de SI public qui pose problème. Enfin, je crois.&nbsp;