Le Gouvernement voulait un blanc-seing du Conseil d'État pour continuer à violer le droit européen. Il ne l'a pas obtenu: cet arrêt met fin à la logique de suspicion généralisée qui existe, en France, depuis 2001 et que @assofdn@privacyint remettent en cause depuis 2015. #CERens
@assoFDN@privacyint La position maintenue par le Gouvernement depuis la demande d'abrogation des décrets est totalement réfutée par le Conseil d'Etat. Il s'agit d'une victoire majeure et importante dont on ne souligne pas assez la portée: il a fallu plusieurs procédures et 6 ans pour y arriver.
@assoFDN@privacyint Certes, le Conseil d'Etat ne suit pas dans l'intégralité l'équilibre posé par la Cour de Justice de l'UE et, sur certains points, l'interprétation donnée à l'arrêt du 6 octobre apparaît pour le moins "créative".
@assoFDN@privacyint Pour autant, l'arrêt du Conseil d'État appelle clairement à une réforme du droit français en matière de surveillance des communications électroniques.
Il appartient non seulement au gouvernement, mais aussi aux parlementaires, d'en tirer les conséquences.
@assoFDN@privacyint Les députés et les sénateurs doivent se saisir de leur rôle de législateur sur cette question: pour un véritable débat démocratique et trouver un juste équilibre conformément à la jurisprudence de la Cour de Justice.
• • •
Missing some Tweet in this thread? You can try to
force a refresh
Données à caractère personnel ; informations anonymes et «crypto-identifiants» – pour reprendre l'expression de Bruno Sportisse, PDG d’Inria.
On s'y perd un peu sur les qualifications juridiques pertinentes pour les projets d'app de "contact tracing".
Faisons le point :
Pour faire le tour du sujet, il faut répondre à au moins 4 questions:
1. Qu'est-ce qu'un «traitement» de données personnelles ? 2. Comment détermine-t-on qu'une personne est «identifiable» ? 3. Qui est responsable et quelles sont les obligations du responsable du traitement?
1. Le RGPD réglemente les *traitements* c-à-d. «toute opération [ou ensemble d'opérations] [...] appliquées à des données ou des ensembles de données à caractère personnel». Cette définition est très large: cela va de la collecte, à la conservation ou à la mise à disposition.
Le Comité européen de la protection des données personnelles publie une lettre concernant les applications de "suivi de proximité" COVID-19 edpb.europa.eu/news/news/2020…
Rappelons, toutefois, que le Comité est compétent pour les règles du RGPD - pas pour ePrivacy.
Or, la plupart des projets d'application discutés reposent sur l'utilisation d'informations stockées dans le terminal mobile des personnes. Cette utilisation relève des règles de l'article 5(3) de la directive 2002/58 ePrivacy.
Le consentement des utilisateurs est donc exigé.
(Ce, même si le traitement ultérieur de données personnelles - le cas échéant - peut avoir une base légale différente, tel que rappelé par le Comité).
Des dérogations à ce consentement sont toutefois permises par le droit européen, sous des conditions rigoureusement strictes.