Re: [FRnOG] [TECH] L33 et RGPD : des dispositions particulières à prendre ?
Le 06/04/2018 à 10:52, Jérôme Nicolle a écrit : > En tant qu'opérateurs, on a une obligation de capacité à identifier > nos utilisateurs et une obligation de conserver les logs pendant une > certaine durée. Non, pas une obligation d'identification, mais de fournir les éléments contribuant à l'identification. > On a survolé le sujet grâce à Alec au FRnOG 28, mais qu'est ce que > cela impose ou implique vis à vis du RGPD ? > > Plus spécifiquement, "Les données liées au terminal (MAC, IMEI, > IMSI...) ne peuvent être traitées et conservées (art. 8.2)" mais > il y a une exception "pour des motifs liés à la sécurité, à > l’ordre public, ou divers aspects techniques". L'obligation > d'identification fait-elle bien partie de ces exceptions ? Déjà, à la base, en tant qu'opérateur, c'est plus ePrivacy que RGPD. Et dans son état actuel, l'article 6 ePrivacy va plus loin que le texte d'origine (en gros, on ne pouvait traiter et conserver que ce qui était pertinent pour l'acheminement d'une communication, et, concernant les opérateurs d'accès, ce qui permettait de contribuer à l'identification d'un possesseur de terminal), puisque d’un périmètre limité aux seules données pertinentes, on glisse tout subrepticement vers des données définies par les législateurs nationaux. En attendant qu'un accord permette l'adoption d'ePrivacy, RGPD s'applique, et notamment son article 6, qui ne saurait se résumer à la seule conditions du consentement de l'utilisateur, il existe en effet d'autres causes de licéité d'un traitement : Le traitement n'est licite que si, et dans la mesure où, *au moins une* des conditions suivantes est remplie: (…) c) le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis; L'obligation légale ici est celle résultant du combo art. L.34-1 & R.10-13 CPCE + A 43-9 Code de procédure pénale. Après, on a les exégètes qui partent du principe que l'arrêt Tele2 s'impose à tout le monde, et que donc L.34-1 et ses textes d'application tombent, mais en attendant, la position des autorités Françaises, c'est que les dispositions nationales sont antérieures à tout ça, donc pouf pouf, ça s'applique quand même, circulez, y'a rien à voir, ayez confiance. S'il y en a qui veulent jouer, ie tenir tête à un OPJ qui a une oreille attentive chez un magistrat peu sensible à vos états d'âme (cf. art. 60-1 / 60-2 CPP, sans oublier les possibilités d'amende, de perquisition et citation à comparaitre) mais qui apportera sur un plateau la QPC rêvée, à vot' bon coeur. Pour le reste, le 1er qui a une réponse de la CNIL (autre qu'appliquez la loi conformément à la loi) sur ce sujet paye sa tournée de ClubMate au prochain FRnOG. -- Alec, --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] L33 et RGPD : des dispositions particulières à prendre ?
Bonne idée, il fait ça depuis très longtemps (il était déjà là quand j'étais chez ISDnet, fin des années 90), c'est un homme (très) compétent et efficace! Le 6 avr. 2018 à 17:51, Guillaume Barrot a écrit : > Ca serait bien du coup, de demande à https://twitter.com/ericfreyss de venir > au prochain FRnog nous donner le point de vue de la Gendarmerie à ce sujet... > > Le 6 avril 2018 à 13:46, David Ponzone a écrit : > Il faudrait aussi aligner l'information auprès des forces de l'ordre en > France, qui régulièrement demandent l'identification d'un utilisateur avec > des éléments datant d'il y a plus de 2 ans. > C'est quand même délicat de devoir leur répondre que c'est pas possible :) > > Le 6 avr. 2018 à 13:37, Solarus a écrit : > > > > > > > Le 2018-04-06 à 10:52, Jérôme Nicolle a écrit : > >> Bonjour, > >> > >> En tant qu'opérateurs, on a une obligation de capacité à identifier nos > >> utilisateurs et une obligation de conserver les logs pendant une > >> certaine durée. > >> > >> On a survolé le sujet grâce à Alec au FRnOG 28, mais qu'est ce que cela > >> impose ou implique vis à vis du RGPD ? > >> > > Salut Jérôme. > > > > La RGPD s'applique aux acteurs privés dans les collectes à finalité > > privée, pas aux obligations légales relatives à l'exercice de l'autorité > > publique. > > Dans le détail c'est un peu plus complexe, il y a toute un combat autour > > de l'arrêt Télé 2 et de l'article 6 du RGPD. > > > > En l'état rien ne remet en cause la collecte des éléments demandés par > > loi, dans le délai imposé par la loi (et strictement ces éléments là). > > Un recours porté par la Quadrature du Net essaye d'obtenir l'alignement > > de la loi française sur le droit européen (conservation d'1 an au lieu > > de 2) mais ça n'est pas encore fait. > > > > Cordialement > > Solarus > > > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > > > -- > Cordialement, > > Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] L33 et RGPD : des dispositions particulières à prendre ?
Ca serait bien du coup, de demande à https://twitter.com/ericfreyss de venir au prochain FRnog nous donner le point de vue de la Gendarmerie à ce sujet... Le 6 avril 2018 à 13:46, David Ponzone a écrit : > Il faudrait aussi aligner l'information auprès des forces de l'ordre en > France, qui régulièrement demandent l'identification d'un utilisateur avec > des éléments datant d'il y a plus de 2 ans. > C'est quand même délicat de devoir leur répondre que c'est pas possible :) > > Le 6 avr. 2018 à 13:37, Solarus a écrit : > > > > > > > Le 2018-04-06 à 10:52, Jérôme Nicolle a écrit : > >> Bonjour, > >> > >> En tant qu'opérateurs, on a une obligation de capacité à identifier nos > >> utilisateurs et une obligation de conserver les logs pendant une > >> certaine durée. > >> > >> On a survolé le sujet grâce à Alec au FRnOG 28, mais qu'est ce que cela > >> impose ou implique vis à vis du RGPD ? > >> > > Salut Jérôme. > > > > La RGPD s'applique aux acteurs privés dans les collectes à finalité > > privée, pas aux obligations légales relatives à l'exercice de l'autorité > > publique. > > Dans le détail c'est un peu plus complexe, il y a toute un combat autour > > de l'arrêt Télé 2 et de l'article 6 du RGPD. > > > > En l'état rien ne remet en cause la collecte des éléments demandés par > > loi, dans le délai imposé par la loi (et strictement ces éléments là). > > Un recours porté par la Quadrature du Net essaye d'obtenir l'alignement > > de la loi française sur le droit européen (conservation d'1 an au lieu > > de 2) mais ça n'est pas encore fait. > > > > Cordialement > > Solarus > > > > > > --- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- Cordialement, Guillaume BARROT --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] L33 et RGPD : des dispositions particulières à prendre ?
Il faudrait aussi aligner l'information auprès des forces de l'ordre en France, qui régulièrement demandent l'identification d'un utilisateur avec des éléments datant d'il y a plus de 2 ans. C'est quand même délicat de devoir leur répondre que c'est pas possible :) Le 6 avr. 2018 à 13:37, Solarus a écrit : > > > Le 2018-04-06 à 10:52, Jérôme Nicolle a écrit : >> Bonjour, >> >> En tant qu'opérateurs, on a une obligation de capacité à identifier nos >> utilisateurs et une obligation de conserver les logs pendant une >> certaine durée. >> >> On a survolé le sujet grâce à Alec au FRnOG 28, mais qu'est ce que cela >> impose ou implique vis à vis du RGPD ? >> > Salut Jérôme. > > La RGPD s'applique aux acteurs privés dans les collectes à finalité > privée, pas aux obligations légales relatives à l'exercice de l'autorité > publique. > Dans le détail c'est un peu plus complexe, il y a toute un combat autour > de l'arrêt Télé 2 et de l'article 6 du RGPD. > > En l'état rien ne remet en cause la collecte des éléments demandés par > loi, dans le délai imposé par la loi (et strictement ces éléments là). > Un recours porté par la Quadrature du Net essaye d'obtenir l'alignement > de la loi française sur le droit européen (conservation d'1 an au lieu > de 2) mais ça n'est pas encore fait. > > Cordialement > Solarus > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] L33 et RGPD : des dispositions particulières à prendre ?
Le 2018-04-06 à 10:52, Jérôme Nicolle a écrit : > Bonjour, > > En tant qu'opérateurs, on a une obligation de capacité à identifier nos > utilisateurs et une obligation de conserver les logs pendant une > certaine durée. > > On a survolé le sujet grâce à Alec au FRnOG 28, mais qu'est ce que cela > impose ou implique vis à vis du RGPD ? > Salut Jérôme. La RGPD s'applique aux acteurs privés dans les collectes à finalité privée, pas aux obligations légales relatives à l'exercice de l'autorité publique. Dans le détail c'est un peu plus complexe, il y a toute un combat autour de l'arrêt Télé 2 et de l'article 6 du RGPD. En l'état rien ne remet en cause la collecte des éléments demandés par loi, dans le délai imposé par la loi (et strictement ces éléments là). Un recours porté par la Quadrature du Net essaye d'obtenir l'alignement de la loi française sur le droit européen (conservation d'1 an au lieu de 2) mais ça n'est pas encore fait. Cordialement Solarus --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] L33 et RGPD : des dispositions particulières à prendre ?
P.S. Je ne dis rien quant à la conformité de cette loi vis-à-vis du droit européen. Le 06/04/2018 à 12:01, Jérémie Libeau a écrit : > Salut, > > Pour moi ça rentre dans la case "obligation légale" Article 6.1.c. Et > bien sur dans le cas où cette collecte satisfait les principes énoncés à > l'article 5, respect des finalités, fait de manière adéquate, limité > dans le temps, données exactes, etc. > > J > > Le 06/04/2018 à 10:52, Jérôme Nicolle a écrit : >> Bonjour, >> >> En tant qu'opérateurs, on a une obligation de capacité à identifier nos >> utilisateurs et une obligation de conserver les logs pendant une >> certaine durée. >> >> On a survolé le sujet grâce à Alec au FRnOG 28, mais qu'est ce que cela >> impose ou implique vis à vis du RGPD ? >> >> Plus spécifiquement, "Les données liées au terminal (MAC, IMEI, >> IMSI...) ne peuvent être traitées et conservées (art. 8.2)" mais il y >> a une exception "pour des motifs liés à la sécurité, à l’ordre >> public, ou divers aspects techniques". L'obligation d'identification >> fait-elle bien partie de ces exceptions ? >> >> Merci ! >> > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] L33 et RGPD : des dispositions particulières à prendre ?
Salut, Pour moi ça rentre dans la case "obligation légale" Article 6.1.c. Et bien sur dans le cas où cette collecte satisfait les principes énoncés à l'article 5, respect des finalités, fait de manière adéquate, limité dans le temps, données exactes, etc. J Le 06/04/2018 à 10:52, Jérôme Nicolle a écrit : > Bonjour, > > En tant qu'opérateurs, on a une obligation de capacité à identifier nos > utilisateurs et une obligation de conserver les logs pendant une > certaine durée. > > On a survolé le sujet grâce à Alec au FRnOG 28, mais qu'est ce que cela > impose ou implique vis à vis du RGPD ? > > Plus spécifiquement, "Les données liées au terminal (MAC, IMEI, > IMSI...) ne peuvent être traitées et conservées (art. 8.2)" mais il y > a une exception "pour des motifs liés à la sécurité, à l’ordre > public, ou divers aspects techniques". L'obligation d'identification > fait-elle bien partie de ces exceptions ? > > Merci ! > --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] L33 et RGPD : des dispositions particulières à prendre ?
Bonjour, En tant qu'opérateurs, on a une obligation de capacité à identifier nos utilisateurs et une obligation de conserver les logs pendant une certaine durée. On a survolé le sujet grâce à Alec au FRnOG 28, mais qu'est ce que cela impose ou implique vis à vis du RGPD ? Plus spécifiquement, "Les données liées au terminal (MAC, IMEI, IMSI...) ne peuvent être traitées et conservées (art. 8.2)" mais il y a une exception "pour des motifs liés à la sécurité, à l’ordre public, ou divers aspects techniques". L'obligation d'identification fait-elle bien partie de ces exceptions ? Merci ! -- Jérôme Nicolle 06 19 31 27 14 --- Liste de diffusion du FRnOG http://www.frnog.org/