Le 06/04/2018 à 10:52, Jérôme Nicolle a écrit : > En tant qu'opérateurs, on a une obligation de capacité à identifier > nos utilisateurs et une obligation de conserver les logs pendant une > certaine durée.
Non, pas une obligation d'identification, mais de fournir les éléments contribuant à l'identification. > On a survolé le sujet grâce à Alec au FRnOG 28, mais qu'est ce que > cela impose ou implique vis à vis du RGPD ? > > Plus spécifiquement, "Les données liées au terminal (MAC, IMEI, > IMSI...) ne peuvent être traitées et conservées (art. 8.2)" mais > il y a une exception "pour des motifs liés à la sécurité, à > l’ordre public, ou divers aspects techniques". L'obligation > d'identification fait-elle bien partie de ces exceptions ? Déjà, à la base, en tant qu'opérateur, c'est plus ePrivacy que RGPD. Et dans son état actuel, l'article 6 ePrivacy va plus loin que le texte d'origine (en gros, on ne pouvait traiter et conserver que ce qui était pertinent pour l'acheminement d'une communication, et, concernant les opérateurs d'accès, ce qui permettait de contribuer à l'identification d'un possesseur de terminal), puisque d’un périmètre limité aux seules données pertinentes, on glisse tout subrepticement vers des données définies par les législateurs nationaux. En attendant qu'un accord permette l'adoption d'ePrivacy, RGPD s'applique, et notamment son article 6, qui ne saurait se résumer à la seule conditions du consentement de l'utilisateur, il existe en effet d'autres causes de licéité d'un traitement : Le traitement n'est licite que si, et dans la mesure où, *au moins une* des conditions suivantes est remplie: (…) c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis; L'obligation légale ici est celle résultant du combo art. L.34-1 & R.10-13 CPCE + A 43-9 Code de procédure pénale. Après, on a les exégètes qui partent du principe que l'arrêt Tele2 s'impose à tout le monde, et que donc L.34-1 et ses textes d'application tombent, mais en attendant, la position des autorités Françaises, c'est que les dispositions nationales sont antérieures à tout ça, donc pouf pouf, ça s'applique quand même, circulez, y'a rien à voir, ayez confiance. S'il y en a qui veulent jouer, ie tenir tête à un OPJ qui a une oreille attentive chez un magistrat peu sensible à vos états d'âme (cf. art. 60-1 / 60-2 CPP, sans oublier les possibilités d'amende, de perquisition et citation à comparaitre) mais qui apportera sur un plateau la QPC rêvée, à vot' bon coeur. Pour le reste, le 1er qui a une réponse de la CNIL (autre qu'appliquez la loi conformément à la loi) sur ce sujet paye sa tournée de ClubMate au prochain FRnOG. -- Alec, --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
