Petit #thread (fatigué) sur les avis de la @CNIL : 1. en 1978, le Parlement adoptait la loi informatique et libertés portant création de la CNIL, dont les avis faisaient autorité, et devaient être suivis ("avis conformes") par le gouvernement.
2. en 2004, le Parlement transposait une Directive européenne et adoptait une refonte de ladite loi informatique et libertés, particulièrement originale : s’il ne la respecte pas, l’Etat ne risque pratiquement rien. web.archive.org/web/2004080602…
3. Par exemple, s’il veut créer de nouveaux fichiers régaliens policiers ou de santé, le gouvernement devait toujours, certes, demander son avis à la Cnil.
Mais il n'était plus obligé d’en tenir compte...
Depuis 2004, les avis de la @CNIL ne sont plus que "consultatifs". #FAIL
4. Cette même Cnil avait cela dit, en contrepartie, gagné la possibilité de pouvoir infliger des amendes aux contrevenants.
Sauf à l’Etat.
Le tout, avec comme rapporteur au Sénat celui qui, à l'époque, était aussi le président de la... @CNIL
5. cela fait donc des années que je tente de comparer les avis de la CNIL sur les "projets de décrets" avec les décrets tels qu'ils sont finalement publiés par le gvt.
Minus le fait qu'ils ne sont parfois pas publiés ou, comme en l'espèce avec le DMP, avec retard (non expliqué).
6. Ni la CNIL ni le gvt ne rendent en effet publics les éléments pointés du doigt par la 1ère & qui ont (ou pas) été pris en compte par le 2nd.
& comme ils sont tous 2 écrits par & pour des juristes (ce que je ne suis pas),
& dans une mise en page pas du tout ergonomique #JORF...
7. Ex : le décret relatif au dossier médical partagé avait été publié au #JORF le 4 août dernier, mais pas l'avis de la CNIL, qui ne l'a donc été que ce jour (voir + haut, & encore merci @rabenou !-) legifrance.gouv.fr/jorf/id/JORFTE…
8. Le décret dispose que lorsque le titulaire d'un DMP créé avant le 1er janvier 2022 s'oppose à la création de son espace numérique en santé (ENS, qui vise à faciliter l’accès et la gestion des données de santé aux patients et aux professions médicales : lamedicale.fr/actu-t-ma-sant…)
9. son DMP reste ouvert pendant une période transitoire d'un an à compter du 1er janvier 2022.
Mais également, et étrangement, que "Pendant cette période transitoire, le titulaire ne peut pas accéder directement à son dossier médical partagé."
10. De plus, "Seuls les professionnels dûment habilités conservent la possibilité d'intégrer des données dans le dossier, de le consulter, dans les conditions définies par le code de la santé publique" (CSP).
11. Or, l'avis de la CNIL estimait que le projet de décret était "contraire aux dispositions de l'article L. 1111-19" du CSP qui permet d'accéder à son DMP, à la liste des professionnels qui y ont accès, ainsi qu'aux traces d'accès à son dossier legifrance.gouv.fr/codes/article_…
12. Selon le ministère, des raisons budgétaires ne permettent pas de maintenir une interface « permettant à ce titulaire d'accéder directement à son DMP »... #WTF
Le titulaire "pourra néanmoins accéder au contenu du DMP par l'intermédiaire d'un professionnel de santé"... #WTFbis
13. a @CNIL n'a donc pas été entendue.
Elle relevait en outre que le dispositif "n'est pas conforme aux dispositions de l'article L. 1111-14 du CSP qui prévoient qu'« à l'issue de cette période transitoire, l'espace numérique de santé est ouvert automatiquement,
14. sauf confirmation de l'opposition de la personne ou de son représentant légal. Cette nouvelle opposition donne lieu à la clôture du dossier médical partagé ». legifrance.gouv.fr/codes/article_…
15. Il en résulte qu'en l'absence de confirmation de l'opposition à l'ouverture de l'ENS, celui-ci sera automatiquement ouvert, entraînant ainsi le maintien du DMP préexistant."
Vous avez compris ? Moi, non, enfin pas vraiment.
16. La CNIL demandait "donc que le projet de décret soit modifié afin de prévoir que la clôture du DMP n'interviendra qu'en cas de nouvelle opposition à l'ouverture de l'ENS."
17. En l'espèce, le décret dispose que "Dans un délai de deux mois précédant la fin de cette période transitoire, et au plus tard le 31 décembre 2022, le titulaire du dossier médical partagé est informé, selon les mêmes modalités que celles relatives à l'ouverture de l'ENS,
18. que la confirmation de son opposition à la création de son espace numérique de santé entraînera la clôture de son dossier médical partagé."
La CNIL aurait donc (si j'ai bien compris, je ne suis pas juriste) été entendue sur ce point-là.
19. Sauf que la conclusion de l'avis de la CNIL #fatigue :
"En l'absence d'informations concernant la mise en œuvre du traitement envisagé et la sécurité des données traitées, la Commission n'est pas en mesure de vérifier la conformité du traitement au RGPD,
20. et prend acte de ce que le ministère a prévu de lui adresser des demandes de conseil sur ces questions."
Et là, ben... on ne sait pas, l'avis de la CNIL sur le projet de décret, pas plus que le décret finalement publié, ne revenant sur ces "demandes de conseil" & questions.
21. Tout juste apprend-on que "La Commission prend acte de ce que l'Analyse d'impact relatives à la protection des données qui lui sera transmise sera mise à jour au fur et à mesure de l'avancement du projet, et souhaite en être destinataire avant chaque jalon de déploiement."
22. En l'état, je ne peux donc guère écrire d'article (je suis journaliste) sur ce décret DMP, faute de lisibilité;
et ce, sans parler de la complexité du droit en la matière,
non plus que du volume croissant de systèmes d'informat(isat)ion des données de santé...
23. Et je suis fatigué de devoir comparer les avis de la @CNIL sur les "projets de décret" avec ceux qui sont finalement publiés par le gvt, alors qu'il y a forcément des gens, de part et d'autres, qui font le job et qui pourraient le rendre public, en termes de transparence.
24. Ce qui, in fine, ne pourrait que contribuer à renforcer la confiance dans nos institutions,
alors que le gvt n'a de cesse d'être accusé d'en faire trop (ou pas assez) sur ces questions,
et que la @CNIL est elle aussi accusée d'en faire trop (ou pas assez),
25. alors qu'en fait on n'en sait trop rien, faute pour les gens qui s'y connaissent un tantinet sur ces questions de comprendre ce qui est fait (ou pas), le diable se nichant souvent dans les petits détails...
& j'essaierai de mettre ce #thread à jour, si possible
26. Et ce, d'autant qu'on croule sous l'ultracrépidarianisme (comportement consistant à donner son avis sur des sujets à propos desquels on n’a pas de compétence crédible ou démontrée : fr.wikipedia.org/wiki/Ultracr%C…)
27. et l'effet Dunning-Kruger, ce biais cognitif controversé par lequel les moins qualifiés dans un domaine pourraient surestimer leur compétence : fr.wikipedia.org/wiki/Effet_Dun…
28. Je ne sais pas combien de dizaines (de dizaines ?) d'heures j'ai pu passer, depuis... 17 ans maintenant, à comparer les avis de la CNIL sur les projets de décret aux décrets publiés.
Pour, dans la majorité des cas, ne rien pouvoir en faire... #FAIL
29. C'est d'autant plus déplorable que je suis conscient du fait que, de part et d'autre, tant du côté du gvt que de la CNIL, il y a des gens, (hauts) fonctionnaires et juristes qui tentent de service l'intérêt général... mais sans être audibles, ni compris.
30 Au final, on en arrive à une telle absence de lisibilité que ce qui ressort, ce qui reste, c'est une vision caricaturale & biaisée en mode :
. le gvt nous enfume
. la CNIL ne sert à rien
... alors que ben non en fait, le monde n'est pas en N/B #NousSachons #FacePalm
• • •
Missing some Tweet in this thread? You can try to
force a refresh
Le service de contre-espionnage militaire français s'est considérablement modernisé.
Au prix de quelques menues gaffes, plus ou moins anecdotiques, à commencer par un certificat de formation au « secret défense » accessible à l'encan.
Sur @nextinpact /1 nextinpact.com/article/47919/…
Son site web comporte aussi quelques fautes de frappe. Rien que de très grave, sinon qu'elles n'ont pas été corrigées deux ans et demi après son lancement.
À sa décharge, la DRSD ne propose pas d'adresse e-mail pour la contacter... /2
Sa « charte d'utilisation des cookies », un .doc (non renseigné) fourni par la Délégation des sys. d’information d’administration et de gestion (DéSiag) du Sec. gal pour l'adm. du MinArm, était un copié/collé de celle de... @inmacwstorefr /3 #wtf#sic cf google.com/search?q=ext:d…
#Covid19 : vaccinés ≠ immunisés => de + en + d'adultes vaccinés sont contaminés par d'autres adultes vaccinés (même & y compris en portant un masque), avant de contaminer leurs enfants non vaccinés : le #Delta est + contaminant, mais le vaccin protège des infections graves /1
C'est un principe de base en sécurité informatique (en épidémiologie aussi ?): rien ne sert d'acheter une porte blindée si on laisse la fenêtre ouverte.
Il faut se méfier non seulement de la menace avérée, mais aussi du faux sentiment de sécurité qu'offrent les antivirus & Cie /2
Cette étude de clusters singapouriens montre en vert les personnes vaccinées 2 doses, en jaune celles qui n'avaient reçu qu'1 dose, en mauve les asymptomatiques, mais donc toutes contaminées (& contaminantes !), via
Les dirigeants d'Amesys et Nexa sont poursuivis pour « complicité de tortures », 10 ans après nos révélations au sujet du système de « surveillance de masse » qu'ils avaient vendus à des dictateurs #Thread /1 nextinpact.com/article/47509/…
Tout est parti de ce petite guide de sécurité IT, écrit après que des journalistes @LePoint & @Mediapart se soient fait voler leurs ordinateurs, où je mentionnais notamment Globull, un disque dur chiffré recommandé par les services de renseignement /2 lemonde.fr/blog/bugbrothe…
En réponse, un lanceur d'alerte me contacta pour m'expliquer qu'une filiale de Bull, Amesys, avait également conçu un système de surveillance de masse à la demande de Kadhafi...
Mais je n'avais aucun moyen de le vérifier, et ça nous a pris plus de 9 mois... /3
Alors que personne ne comprend comment fonctionnera la surveillance algorithmique des URL, la députée @PaulaForteza formule trois propositions pour pallier les problèmes posés par le « solutionnisme technologique ». #Thread /1
Sur @nextinpact : nextinpact.com/article/46143/…
La députée revient sur les problèmes et questions soulevés par TousAntiCovid, les drones de la police, la surveillance par Bercy des réseaux sociaux et plateformes, la reconnaissance faciale, la « surveillance sous-la-peau » & « l’informatique affective »... /2
Elle revient également sur les algorithmes (« boîtes noires ») que le PJL Renseignement veut étendre à la surveillance des URL... et au sujet desquels je continue à creuser, personne n'ayant à ce jour compris à quoi cela correspondra, et comment ils fonctionneront... /3
Le Pentagone a développé un programme destiné à fournir de fausses identités et empreintes (digitales et numériques) à ~60 000 militaires et prestataires (10 X + que les clandestins de la CIA). #Thread /1
Sur @nextinpact : nextinpact.com/article/45678/…
Ce « changement sans précédent » résulterait d'une part d'un « accroissement des forces spéciales secrètes », mais aussi et surtout de la difficulté accrue de pouvoir voyager et et opérer dans un monde (inter)connecté et de plus en plus transparent. /2
L'auteur de l'enquête, @warkin, avait déjà révélé que près de 30 % des 850 000 Américain disposant d'accès aux informations classifiées travaillaient pour des entreprises privées, et que le budget consacré au renseignement avait été multiplié par 2,5 depuis le 11/09/2001. /3
Spoiler : j'ai (dé)chiffré le programme de décryptage #SecretDéfense de la DGSE, qui a développé des « capacités techniques interministérielles » dans le cadre d'une mutualisation « discrète mais essentielle » des techniques de renseignement. #Thread /1 nextinpact.com/article/45669/…
Et ça n'a pas été une sinécure : j'avais commencé à enquêter à ce sujet en... 2015, à l'occasion de la polémique sur la #LoiRenseignement, alors que tout le monde ou presque criait à la « surveillance de masse » par les #boitesnoires. /2 #Quandjaicompris#Putain6ans !
On sait que, au-delà des « guéguerres » intestines entre les « cousins » des différents services de renseignement français, ces derniers travaillent de concert depuis des années, notamment en mutualisant certaines de leurs « capacités » et « capteurs » techniques. /3