Étonnant que personne en 🇫🇷 ne sembe avoir relevé comment le projet Règlement #ePrivacy adopté par Conseil 🇪🇺 essaye de ‘défaire’ l’arrêt LQDN @laquadrature rendu par CJUE le 6 Oct 2020 concernant la conservation des données de connexion à des fins de renseignement
Thread 1/n
👇
Comme l’a noté @edri il a fallu... 1492 jours depuis l’introduction du projet par @EU_Commission pour que Conseil 🇪🇺 adopte finalement sa position ouvrant la voie aux trilogues pour ce qui est considéré comme une mise à jour indispensable de la directive #ePrivacy de 2002... 2/n
...sur la protection de la vie privée sur Internet & confidentialité des communications électroniques. Ceci n’a été rendu possible que quand 🇫🇷, longtemps opposée au texte, l’a soutenu après certains changements importants opérés par présidence 🇵🇹.. 3/n
👉 data.consilium.europa.eu/doc/document/S…
Le changement le plus important vise à étendre l’exception de sécurité nationale dans #ePrivacy afin d’exclure de son champ d’application TOUTE activité, mesure et traitement ayant pour objet la sécurité nationale.
Pour comprendre il faut revenir en arrière et revisiter... 4/n
les arrêts LQDN & @privacyint du 6 Oct 2020 où CJUE avait considéré que l’exception de sécurité nationale Art.1(3) #ePrivacy s’applique SEULEMENT lorsque les Etats mettent en œuvre DIRECTEMENT des mesures dérogeant à confidentialité des communications. 5/n
..MAIS ne s’applique pas quand ils demandent des données à des fournisseurs de services de communications électroniques qui effectuent des traitements de données personnelles. Ainsi, quand les services de renseignement demandent la conservation des données de connexion... 6/n
... aux fournisseurs telecoms/internet le droit européen s’applique et impose des obligations importantes aux États que les lois 🇫🇷 🇬🇧 renseignement ne respectaient pas. Pour la France, son adhésion au projet de règlement #ePrivacy était subordonnée... 7/n
... au respect d’une « ligne rouge »: l’exclusion du champ d’application du règlement, des activités, mesures et traitements ayant pour objet la sécurité nationale... 8/n
👇
La France a obtenu gain de cause. L’art. 2(2a) voté par le Conseil 🇪🇺 exclu désormais expressément du champ d’application TOUS les traitements liés à la sécurité nationale, directs ou indirects (demandes à des fournisseurs des services)... 9/n
Si ce texte est maintenu pendant trilogues, lors d’une future mise en cause des lois renseignement similaire à celle initiée par LQDN, la CJEU pourrait déclarer que #ePrivacy & droit 🇪🇺 ne s’applique pas (sous réserve application éventuelle directive Police/Justice)... 10/n
La 🇫🇷+autres pays frustrés par jurisprudence CJUE sur conservation données ont aussi réussi à apporter modifications importantes concernant dérogations au principe de confidentialité à des fins lutte contre criminalité. Voir, pour le domaine pénal Art 2(2d), 6(1d) et 7(4) 11/n
👇
Il s’agit du dernier episode dans la longue bataille qui divise les autorités chargées renseignement/sécurité dans les pays membres 🇪🇺 et les promoteurs d’une protection forte pour la vie privée et la confidentialité des communications. To be continued... (over)
• • •
Missing some Tweet in this thread? You can try to
force a refresh
⚠️📢Very important decision today by the top French Administrative Court @Conseil_Etat on post #SchremsII developments
The Court rejects the request of the petitioners against the hosting of the #healthdatahub by @MicrosoftEU ...
Thread (1)
👇
I will focus here on only one HUGE point in this decision re post #SchremsII developments: the Court didn't follow the French DPA @CNIL in its position that US Cloud Providers (or under 🇺🇸 Jurisdiction) should not be used as a matter of principle for hosting health data... (2)
As already explained 🇫🇷DPA @CNIL invited Court to say that providers under US jurisdiction should not be used & this even if all data (encrypted in this case!) are localized in Europe & there are no "transfers" to 🇺🇸bc US Gov might still make requests
👇
😳 Huge #SchremsII aftershocks!
French DPA @CNIL asks not to use US Cloud providers (or other providers “under US jurisdiction”) for hosting health data. For CNIL, this is relevant even if there are no “transfers of data” to 🇺🇸 and all data are stored in 🇪🇺, because... (1)
... the US Government can still make FISA & EO123333 orders to transfer data to the US. Despite the fact that the Data are encrypted in this specific case under review (HDH), CNIL seems to consider this is not enough. This is striking as encryption has been presented as... (2)
...a potential technical solution under the “additional safeguards” possibility opened by the CJEU in #SchremsII. Instead, CNIL considers that using a European “trustee” could be a solution under some conditions. All this pending the eagerly expected @EU_EDPB guidelines... (3)