Re: [FRnOG] [TECH] L33 et RGPD : des dispositions particulières à prendre ?

2018-04-09 Par sujet Alexandre Archambault 
Le 06/04/2018 à 10:52, Jérôme Nicolle a écrit :

> En tant qu'opérateurs, on a une obligation de capacité à identifier
> nos utilisateurs et une obligation de conserver les logs pendant une 
> certaine durée.

Non, pas une obligation d'identification, mais de fournir les éléments
contribuant à l'identification.

> On a survolé le sujet grâce à Alec au FRnOG 28, mais qu'est ce que
> cela impose ou implique vis à vis du RGPD ?
> 
> Plus spécifiquement, "Les données liées au terminal (MAC, IMEI, 
> IMSI...) ne peuvent être traitées et conservées (art. 8.2)" mais
> il y a une exception "pour des motifs liés à la sécurité, à
> l’ordre public, ou divers aspects techniques". L'obligation
> d'identification fait-elle bien partie de ces exceptions ?
Déjà, à la base, en tant qu'opérateur, c'est plus ePrivacy que RGPD.

Et dans son état actuel, l'article 6 ePrivacy va plus loin que le texte
d'origine (en gros, on ne pouvait traiter et conserver que ce qui était
pertinent pour l'acheminement d'une communication, et, concernant les
opérateurs d'accès, ce qui permettait de contribuer à l'identification
d'un possesseur de terminal), puisque d’un périmètre limité aux seules
données pertinentes, on glisse tout subrepticement vers des données
définies par les législateurs nationaux.

En attendant qu'un accord permette l'adoption d'ePrivacy, RGPD
s'applique, et notamment son article 6, qui ne saurait se résumer à la
seule conditions du consentement de l'utilisateur, il existe en effet
d'autres causes de licéité d'un traitement :

Le traitement n'est licite que si, et dans la mesure où, *au moins une*
des conditions suivantes est remplie:
(…)
c) le traitement est nécessaire au respect d'une obligation légale à
laquelle le responsable du traitement est soumis;

L'obligation légale ici est celle résultant du combo art. L.34-1 &
R.10-13 CPCE + A 43-9 Code de procédure pénale.


Après, on a les exégètes qui partent du principe que l'arrêt Tele2
s'impose à tout le monde, et que donc L.34-1 et ses textes d'application
tombent, mais en attendant, la position des autorités Françaises, c'est
que les dispositions nationales sont antérieures à tout ça, donc pouf
pouf, ça s'applique quand même, circulez, y'a rien à voir, ayez confiance.

S'il y en a qui veulent jouer, ie tenir tête à un OPJ qui a une oreille
attentive chez un magistrat peu sensible à vos états d'âme (cf. art.
60-1 / 60-2 CPP, sans oublier les possibilités d'amende, de perquisition
et citation à comparaitre) mais qui apportera sur un plateau la QPC
rêvée, à vot' bon coeur.

Pour le reste, le 1er qui a une réponse de la CNIL (autre qu'appliquez
la loi conformément à la loi) sur ce sujet paye sa tournée de ClubMate
au prochain FRnOG.

-- 
Alec,



---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] L33 et RGPD : des dispositions particulières à prendre ?

2018-04-06 Par sujet Guillaume Barrot 
Ca serait bien du coup, de demande à https://twitter.com/ericfreyss de
venir au prochain FRnog nous donner le point de vue de la Gendarmerie à ce
sujet...

Le 6 avril 2018 à 13:46, David Ponzone  a écrit :

> Il faudrait aussi aligner l'information auprès des forces de l'ordre en
> France, qui régulièrement demandent l'identification d'un utilisateur avec
> des éléments datant d'il y a plus de 2 ans.
> C'est quand même délicat de devoir leur répondre que c'est pas possible :)
>
> Le 6 avr. 2018 à 13:37, Solarus a écrit :
>
> >
> >
> > Le 2018-04-06 à 10:52, Jérôme Nicolle a écrit :
> >> Bonjour,
> >>
> >> En tant qu'opérateurs, on a une obligation de capacité à identifier nos
> >> utilisateurs et une obligation de conserver les logs pendant une
> >> certaine durée.
> >>
> >> On a survolé le sujet grâce à Alec au FRnOG 28, mais qu'est ce que cela
> >> impose ou implique vis à vis du RGPD ?
> >>
> > Salut Jérôme.
> >
> > La RGPD s'applique aux acteurs privés dans les collectes à finalité
> > privée, pas aux obligations légales relatives à l'exercice de l'autorité
> > publique.
> > Dans le détail c'est un peu plus complexe, il y a toute un combat autour
> > de l'arrêt Télé 2 et de l'article 6 du RGPD.
> >
> > En l'état rien ne remet en cause la collecte des éléments demandés par
> > loi, dans le délai imposé par la loi (et strictement ces éléments là).
> > Un recours porté par la Quadrature du Net essaye d'obtenir l'alignement
> > de la loi française sur le droit européen (conservation d'1 an au lieu
> > de 2) mais ça n'est pas encore fait.
> >
> > Cordialement
> > Solarus
> >
> >
> > ---
> > Liste de diffusion du FRnOG
> > http://www.frnog.org/
>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>



-- 
Cordialement,

Guillaume BARROT

---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] L33 et RGPD : des dispositions particulières à prendre ?

2018-04-06 Par sujet David Ponzone 
Il faudrait aussi aligner l'information auprès des forces de l'ordre en France, 
qui régulièrement demandent l'identification d'un utilisateur avec des éléments 
datant d'il y a plus de 2 ans.
C'est quand même délicat de devoir leur répondre que c'est pas possible :)

Le 6 avr. 2018 à 13:37, Solarus a écrit :

> 
> 
> Le 2018-04-06 à 10:52, Jérôme Nicolle a écrit :
>> Bonjour,
>> 
>> En tant qu'opérateurs, on a une obligation de capacité à identifier nos
>> utilisateurs et une obligation de conserver les logs pendant une
>> certaine durée.
>> 
>> On a survolé le sujet grâce à Alec au FRnOG 28, mais qu'est ce que cela
>> impose ou implique vis à vis du RGPD ?
>> 
> Salut Jérôme.
> 
> La RGPD s'applique aux acteurs privés dans les collectes à finalité
> privée, pas aux obligations légales relatives à l'exercice de l'autorité
> publique.
> Dans le détail c'est un peu plus complexe, il y a toute un combat autour
> de l'arrêt Télé 2 et de l'article 6 du RGPD.
> 
> En l'état rien ne remet en cause la collecte des éléments demandés par
> loi, dans le délai imposé par la loi (et strictement ces éléments là).
> Un recours porté par la Quadrature du Net essaye d'obtenir l'alignement
> de la loi française sur le droit européen (conservation d'1 an au lieu
> de 2) mais ça n'est pas encore fait.
> 
> Cordialement
> Solarus
> 
> 
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] L33 et RGPD : des dispositions particulières à prendre ?

2018-04-06 Par sujet Solarus 


Le 2018-04-06 à 10:52, Jérôme Nicolle a écrit :
> Bonjour,
>
> En tant qu'opérateurs, on a une obligation de capacité à identifier nos
> utilisateurs et une obligation de conserver les logs pendant une
> certaine durée.
>
> On a survolé le sujet grâce à Alec au FRnOG 28, mais qu'est ce que cela
> impose ou implique vis à vis du RGPD ?
>
Salut Jérôme.

La RGPD s'applique aux acteurs privés dans les collectes à finalité
privée, pas aux obligations légales relatives à l'exercice de l'autorité
publique.
Dans le détail c'est un peu plus complexe, il y a toute un combat autour
de l'arrêt Télé 2 et de l'article 6 du RGPD.

En l'état rien ne remet en cause la collecte des éléments demandés par
loi, dans le délai imposé par la loi (et strictement ces éléments là).
Un recours porté par la Quadrature du Net essaye d'obtenir l'alignement
de la loi française sur le droit européen (conservation d'1 an au lieu
de 2) mais ça n'est pas encore fait.

Cordialement
Solarus


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] L33 et RGPD : des dispositions particulières à prendre ?

2018-04-06 Par sujet Jérémie Libeau 
P.S. Je ne dis rien quant à la conformité de cette loi vis-à-vis du
droit européen.

Le 06/04/2018 à 12:01, Jérémie Libeau a écrit :
> Salut,
>
> Pour moi ça rentre dans la case "obligation légale" Article 6.1.c. Et
> bien sur dans le cas où cette collecte satisfait les principes énoncés à
> l'article 5, respect des finalités, fait de manière adéquate, limité
> dans le temps, données exactes, etc.
>
> J
>
> Le 06/04/2018 à 10:52, Jérôme Nicolle a écrit :
>> Bonjour,
>>
>> En tant qu'opérateurs, on a une obligation de capacité à identifier nos
>> utilisateurs et une obligation de conserver les logs pendant une
>> certaine durée.
>>
>> On a survolé le sujet grâce à Alec au FRnOG 28, mais qu'est ce que cela
>> impose ou implique vis à vis du RGPD ?
>>
>> Plus spécifiquement, "Les données liées au terminal (MAC, IMEI,
>> IMSI...) ne peuvent être traitées et conservées (art. 8.2)" mais il y
>> a une exception "pour des motifs liés à la sécurité, à l’ordre
>> public, ou divers aspects techniques". L'obligation d'identification
>> fait-elle bien partie de ces exceptions ?
>>
>> Merci !
>>
>
> ---
> Liste de diffusion du FRnOG
> http://www.frnog.org/


---
Liste de diffusion du FRnOG
http://www.frnog.org/

Re: [FRnOG] [TECH] L33 et RGPD : des dispositions particulières à prendre ?

2018-04-06 Par sujet Jérémie Libeau 
Salut,

Pour moi ça rentre dans la case "obligation légale" Article 6.1.c. Et
bien sur dans le cas où cette collecte satisfait les principes énoncés à
l'article 5, respect des finalités, fait de manière adéquate, limité
dans le temps, données exactes, etc.

J

Le 06/04/2018 à 10:52, Jérôme Nicolle a écrit :
> Bonjour,
>
> En tant qu'opérateurs, on a une obligation de capacité à identifier nos
> utilisateurs et une obligation de conserver les logs pendant une
> certaine durée.
>
> On a survolé le sujet grâce à Alec au FRnOG 28, mais qu'est ce que cela
> impose ou implique vis à vis du RGPD ?
>
> Plus spécifiquement, "Les données liées au terminal (MAC, IMEI,
> IMSI...) ne peuvent être traitées et conservées (art. 8.2)" mais il y
> a une exception "pour des motifs liés à la sécurité, à l’ordre
> public, ou divers aspects techniques". L'obligation d'identification
> fait-elle bien partie de ces exceptions ?
>
> Merci !
>


---
Liste de diffusion du FRnOG
http://www.frnog.org/

[FRnOG] [TECH] L33 et RGPD : des dispositions particulières à prendre ?

2018-04-06 Par sujet Jérôme Nicolle 
Bonjour,

En tant qu'opérateurs, on a une obligation de capacité à identifier nos
utilisateurs et une obligation de conserver les logs pendant une
certaine durée.

On a survolé le sujet grâce à Alec au FRnOG 28, mais qu'est ce que cela
impose ou implique vis à vis du RGPD ?

Plus spécifiquement, "Les données liées au terminal (MAC, IMEI,
IMSI...) ne peuvent être traitées et conservées (art. 8.2)" mais il y
a une exception "pour des motifs liés à la sécurité, à l’ordre
public, ou divers aspects techniques". L'obligation d'identification
fait-elle bien partie de ces exceptions ?

Merci !

-- 
Jérôme Nicolle
06 19 31 27 14


---
Liste de diffusion du FRnOG
http://www.frnog.org/