L’art culinaire est tout d’exécution et force est de constater que les grands chefs (CJUE ; CE ; CNIL) ont des recettes similaires en matière de cookies, mais avec quelques tour-de-mains et ingrédients un brin différents.  

Retraçons la recette, complexe, de ces cookies légaux à la faveur de l’arrêt rendu ce jour — 19 juin 2020 — par le Conseil d’Etat, censurant partiellement les lignes directrices de la CNIL relatives aux cookies et autres traceurs de connexion. 

 

Les règles de traitement des données à caractère personnel à des fins médicales donnent lieu à une forte actualité :
Voici maintenant qu’est publié un décret n° 2020-567 du 14 mai 2020 relatif aux traitements de données à caractère personnel à des fins de recherche, d’étude ou d’évaluation dans le domaine de la santé (NOR: SSAE1932880D), que voici :

Au JO de ce matin sont lancées les applications de traçage « Contact Covid » et « SI-DEP » (à ne pas confondre avec la possible future application StopCovid sur smartphone…) avec la promulgation du décret n° 2020-551 du 12 mai 2020 relatif aux systèmes d’information mentionnés à l’article 11 de la loi n° 2020-546 du 11 mai 2020 prorogeant l’état d’urgence sanitaire et complétant ses dispositions (NOR: SSAX2011352D).

Ceci est rendu possible par la publication, hier, de la loi du 11 mai 2020 :

 

L’article 11 de cette loi permet au ministre chargé de la santé de mettre en oeuvre un système d’information aux seules fins de lutter contre la prorogation de l’épidémie de covid-19.

C’est peu de dire que ce sujet a été beaucoup débattu au sein des chambres et dans la France entière. Pas assez pour certains. Mais beaucoup tout de même.

Commentons ce texte en quelques étapes :

  • I. Ne pas confondre
  • II. Méthodes de contact tracing
  • III. Rappels de la loi et de la décision du Conseil constitutionnel y afférente 
  • IV. Contact Covid
  • V. SI-DEP
  • VI. ARS
  • Annexe : texte du décret publié au JO de ce matin 

 

Lutte contre le virus…

Lutte contre les risques de big-brotherisation de notre société…

Chacun est dans sa lutte. Et ces deux luttes sont légitimes.

Mais quel équilibre trouver, dès lors, en ce domaine ? 

Est-il raisonnable pour le citoyen de s’affoler quand on fait une application volontaire alors… que tout aussi volontairement une grande majorité de nos concitoyens ne s’émeuvent pas que FaceBook et Google sachent tout de leurs vies et monétisent ces données sans vergogne ?

Est-il raisonnable de penser qu’une application (dont nous n’aurions pas tout le code source, semble-t-il ; voir ici à ce sujet ; et avec un protocole « Robert » qui n’est pas exempt de centralisation, voir par là ) puisse être efficace sans intégrer les iPhones et sans être obligatoire ?

Mais était-il raisonnable que la France refuse (au nom d’une indépendance nationale que l’on peut comprendre) les offres d’Apple et de Google visant à un outil mondial sans transmission de données (voir ici et  ou encore de ce côté là ; au contraire de l’Allemagne ce qui peut comme ici être interprété comme une défaite teutonne — voir ici une présentation de ce tonneau là — ou au contraire être perçu comme un pragmatisme, outre-Rhin, intelligent et surtout plus respectueux des droits : voir ici) ? A moins que les discussions entre Orange et Apple ne fassent bouger les lignes (voir ici) ?

Cela dit, il est possible qu’on se dirige vers un enterrement discret de cet outil (voir ici en ce sens) qui ne devrait pas, plus, donner lieu à un débat parlementaire semble-t-il (voir ici mais bon… tout peut encore changer).

Entre ces injonctions contradictoires, nous voici tous un peu perdus. 

 

Alors, de manière neutre (ou lâche ; à vous de choisir le bon qualificatif…) nous avons préféré vous donner des informations brutes et à chacun de choisir. Avec ci-après, en ces domaines :

  • l’avis de la CNIL
  • l’avis du Conseil national du numérique
  • les orientions de la Commission européenne
  • les lignes directrices du CEPD
  • l’avis de la Quadrature du net, de la LDH de la CNDH et de quelques autres
  • des éléments sur le protocole « Robert »
  • une alerte sur les confusions possibles
  • des renvois vers quelques articles intéressants (avec notamment l’arrêt du recours à une application qui pourtant semblait très efficace en Israël)

 

A été publié ce matin l’arrêté du 22 avril 2020 portant création d’un traitement automatisé de données à caractère personnel afin de permettre aux personnes habituellement domiciliées en outre-mer, confinées et isolées dans l’Hexagone, de disposer d’un réseau d’entraide et de solidarité pendant l’épidémie de covid-19 (NOR: MOMS2010263A).

La CNIL adopte un référentiel relatif aux fichiers du personnel (tant pour le public que pour le privé) : de l’ancienne norme simplifiée NS-46, nous passons à un référentiel conforme au RGPD. Ce référentiel, adopté en novembre, a été publié au JO du 15 avril. Ce référentiel a un champ d’application qui, s’il n’est pas sans limites, couvre néanmoins de vastes domaines, puisqu’il porte sur le public comme sur le privé, et qu’à la GRH s’y ajoutent recrutements, les payes… Voyons tout ceci en détails.

Car après une si longue gestation, il était logique que naisse un gros nourrisson. Gros, il l’est par son champ d’application. Moins par ses précisions. 

Il ne reste plus que six mois aux collectivités territoriales et à leurs établissements publics pour se conformer au règlement général sur la protection des données personnelles (RGPD). Ce Règlement communautaire — qui est donc directement applicable — a fait l’objet d’une parution au journal officiel de l’Union européenne et entrera en application le 25 mai 2018.

Au nombre des obligations qui en découleront (lesquelles peuvent — selon la situation de la collectivité ou de l’établissement — supposer en réalité d’adapter les logiciels, les procédures internes de saisie et communication des données, les règlements de services, et bien entendu de former les agents aux nouvelles obligations etc.) il convient de signaler une nouvelle obligation : celle de choisir son délégué à la protection des données personnelles (DPO).

DPO est le sigle anglophone pour « data protection officer ». Les puristes pourront lui préfèrent le sigle francophone « DPD » pour « délégué à la protection des données personnelles ».