Je suis Responsable Protection des Données local à certains établissements de mon employeur (dans l'équipe d'un DPO qui gère toute l'entreprise), et auparavant j'ai fait les déclarations CNIL de ces établissements pendant 15 ans.
Je pense que vous faites fausse route pour ce qui est des notions relatives au RGPD.
Quelques points importants à gérer, à propos des données traitées (cookies ou pas).
Pour ce qui est de la protection des données personnelles (RGPD).
Les données directement identifiantes (nom, prénom) sont celles à partir desquelles on peut directement désigner la personne.
Les données indirectement identifiantes sont celles à partir des quelles on peut désigner la personne, moyennant un calcul ou un rapprochement.
A l'heure de la reconnaissance faciale, la moindre photo peut être considérée comme identifiante.
Il y a bien d'autres données identifiantes. Par exemple, "le responsable de tel site web", ou "le boulanger de la rue Quincampoix", ou "celui qui vient de traverser la Manche", ou "l'auteur des raisins de la colère", ou "la p'tite dame qui vient à 7h chercher son pain", etc.
Ou les données sur Google du trajet que vous faites, équipé du bracelet ou de la montre GPS que vous portez. Ce qui a un intérêt pour un cambrioleur, pour savoir si on peut faire des bêtises avant que papa ne rentre, pour votre assureur ou banquier qui sachant que vous consultez régulièrement en cancérologie ne va peut-être pas vous proposer les mêmes conditions de prêt immobilier.
L'adresse IP, les cookies vous identifient aussi.
Par défaut, le site hébergeur est responsable de traitement: donc aux yeux de la loi. Il doit fournir un responsable protection des données (DPO), et tenir à jour un registre des traitements de données, des violations de données, et des activités qu'il mène pour protéger les données personnelles. Il doit pour tout traitement de données (site web, stockage, application informatique ou même une gestion de documents papier), effectuer une analyse d'impact sur la vie privée (PIA), qui le conduira à évaluer les risques d'atteinte aux données et leur impact, les mesures propres à minimiser ces risques, et mettre en oeuvre ces mesures. Il doit informer les personnes potentiellement concernées, c'est à dire tout visiteur, lui donner les moyens d'exercer ses droits (accès et rectification, opposition, effacement, portabilité des données). Il doit aussi fournir une information claire et loyale à l'utilisateur, avec le choix de s'opposer au recueil de données personnelles.
L'utilisateur doit alors effectuer un acte de consentement positif (par exemple cocher une case qui ne peut pas l'être par défaut, en application du privacy by default) pour valider son consentement à utiliser un site qui utilise les cookies, avant d'appuyer sur le bouton 'Envoi'.
Pour plus d'infos, voir le site de la CNIL avec une doc actualisée et même un MOOC sur le RGPD qui prend 1 à 2 jours à faire, et délivre une évaluation de compétence et une attestation de suivi.
Alors pour les cookies ?
Ce sont des données personnelles comme d'autres. A partir du moment où ils ont été analysés au sein d'un PIA, ils ne sont pas différents des autres données qu'on peut tracer. Pas d'inquiétude.
Hello, deux points importants à gérer, à propos des dépôts de fichiers.
La protection des données personnelles (RGPD): à l'heure de la reconnaissance faciale, la moindre photo peut être considérée comme une donnée personnelle.
Il y a bien d'autres données qui sont personnelles, dont certaines qui sont dites identifiantes (c'est à dire que pas besoin de connaître le nom et prénom de la personne pour l'identifier). Par exemple, "le responsable de tel site web", ou "le boulanger de la rue Quincampoix", ou "celui qui vient de traverser la Manche", ou "l'auteur des raisins de la colère", ou "la p'tite dame qui vient à 7h chercher son pain", etc.
Ou les données sur Google du trajet que vous faites, équipé du bracelet ou de la montre GPS que vous portez. Ce qui a un intérêt pour un cambrioleur, pour savoir si on peut faire des bêtises avant que papa ne rentre, pour votre assureur ou banquier qui sachant que vous consultez régulièrement en cancérologie ne va peut-être pas vous proposer les mêmes conditions de prêt immobilier…
Par défaut, le site hébergeur est responsable de traitement: donc aux yeux de la loi.
Il doit fournir un responsable protection des données (DPO), et tenir à jour un registre des traitements de données, des violations de données, et des activités qu'il mène pour protéger les données personnelles.
Il doit informer les personnes potentiellement concernées, c'est à dire tout visiteur, et lui donner les moyens d'exercer ses droits (accès et rectification, opposition, effacement, portabilité des données). Pour plus d'infos, voir le site de la CNIL avec une doc actualisée et même un MOOC sur le RGPD.
Pour les photos et vidéos, elles sont aussi soumises au droit à l'image.
Enfin, il faut prévoir de répondre à une enquête en cas de dépôt d'images pédopornographiques ou autres.
Mieux vaut prévenir que guérir.
Le partage de données soumises à copyright. Bien sûr je ne l'ai jamais fait, et vous non plus. Néanmoins un possesseur de données illégalement copiées a le droit de… faire valoir ses droits.
Je sais, l'internet libre sans règles c'est cool. Jusqu'au jour où c'est un de vos proches qui en est victime.
L'internet super fliqué ce n'est pas mieux. Autant appliquer les règles déontologiquement acceptables et limiter les dérives.
[^] # Re: Je ne suis pas juriste
Posté par plefebv . En réponse au message RGPD, cookies et consentement. Dans quel ordre ?. Évalué à -3.
Bonjour,
Je suis Responsable Protection des Données local à certains établissements de mon employeur (dans l'équipe d'un DPO qui gère toute l'entreprise), et auparavant j'ai fait les déclarations CNIL de ces établissements pendant 15 ans.
Je pense que vous faites fausse route pour ce qui est des notions relatives au RGPD.
Quelques points importants à gérer, à propos des données traitées (cookies ou pas).
Pour ce qui est de la protection des données personnelles (RGPD).
Les données directement identifiantes (nom, prénom) sont celles à partir desquelles on peut directement désigner la personne.
Les données indirectement identifiantes sont celles à partir des quelles on peut désigner la personne, moyennant un calcul ou un rapprochement.
A l'heure de la reconnaissance faciale, la moindre photo peut être considérée comme identifiante.
Il y a bien d'autres données identifiantes. Par exemple, "le responsable de tel site web", ou "le boulanger de la rue Quincampoix", ou "celui qui vient de traverser la Manche", ou "l'auteur des raisins de la colère", ou "la p'tite dame qui vient à 7h chercher son pain", etc.
Ou les données sur Google du trajet que vous faites, équipé du bracelet ou de la montre GPS que vous portez. Ce qui a un intérêt pour un cambrioleur, pour savoir si on peut faire des bêtises avant que papa ne rentre, pour votre assureur ou banquier qui sachant que vous consultez régulièrement en cancérologie ne va peut-être pas vous proposer les mêmes conditions de prêt immobilier.
L'adresse IP, les cookies vous identifient aussi.
Par défaut, le site hébergeur est responsable de traitement: donc aux yeux de la loi.
Il doit fournir un responsable protection des données (DPO), et tenir à jour un registre des traitements de données, des violations de données, et des activités qu'il mène pour protéger les données personnelles.
Il doit pour tout traitement de données (site web, stockage, application informatique ou même une gestion de documents papier), effectuer une analyse d'impact sur la vie privée (PIA), qui le conduira à évaluer les risques d'atteinte aux données et leur impact, les mesures propres à minimiser ces risques, et mettre en oeuvre ces mesures.
Il doit informer les personnes potentiellement concernées, c'est à dire tout visiteur, lui donner les moyens d'exercer ses droits (accès et rectification, opposition, effacement, portabilité des données).
Il doit aussi fournir une information claire et loyale à l'utilisateur, avec le choix de s'opposer au recueil de données personnelles.
L'utilisateur doit alors effectuer un acte de consentement positif (par exemple cocher une case qui ne peut pas l'être par défaut, en application du privacy by default) pour valider son consentement à utiliser un site qui utilise les cookies, avant d'appuyer sur le bouton 'Envoi'.
Pour plus d'infos, voir le site de la CNIL avec une doc actualisée et même un MOOC sur le RGPD qui prend 1 à 2 jours à faire, et délivre une évaluation de compétence et une attestation de suivi.
Alors pour les cookies ?
Ce sont des données personnelles comme d'autres. A partir du moment où ils ont été analysés au sein d'un PIA, ils ne sont pas différents des autres données qu'on peut tracer. Pas d'inquiétude.
[^] # Re: on trouve tout dans DaLFP
Posté par plefebv . En réponse au message Dépôt public de photos. Évalué à 0.
Hello, deux points importants à gérer, à propos des dépôts de fichiers.
La protection des données personnelles (RGPD): à l'heure de la reconnaissance faciale, la moindre photo peut être considérée comme une donnée personnelle.
Il y a bien d'autres données qui sont personnelles, dont certaines qui sont dites identifiantes (c'est à dire que pas besoin de connaître le nom et prénom de la personne pour l'identifier). Par exemple, "le responsable de tel site web", ou "le boulanger de la rue Quincampoix", ou "celui qui vient de traverser la Manche", ou "l'auteur des raisins de la colère", ou "la p'tite dame qui vient à 7h chercher son pain", etc.
Ou les données sur Google du trajet que vous faites, équipé du bracelet ou de la montre GPS que vous portez. Ce qui a un intérêt pour un cambrioleur, pour savoir si on peut faire des bêtises avant que papa ne rentre, pour votre assureur ou banquier qui sachant que vous consultez régulièrement en cancérologie ne va peut-être pas vous proposer les mêmes conditions de prêt immobilier…
Par défaut, le site hébergeur est responsable de traitement: donc aux yeux de la loi.
Il doit fournir un responsable protection des données (DPO), et tenir à jour un registre des traitements de données, des violations de données, et des activités qu'il mène pour protéger les données personnelles.
Il doit informer les personnes potentiellement concernées, c'est à dire tout visiteur, et lui donner les moyens d'exercer ses droits (accès et rectification, opposition, effacement, portabilité des données). Pour plus d'infos, voir le site de la CNIL avec une doc actualisée et même un MOOC sur le RGPD.
Pour les photos et vidéos, elles sont aussi soumises au droit à l'image.
Enfin, il faut prévoir de répondre à une enquête en cas de dépôt d'images pédopornographiques ou autres.
Mieux vaut prévenir que guérir.
Le partage de données soumises à copyright. Bien sûr je ne l'ai jamais fait, et vous non plus. Néanmoins un possesseur de données illégalement copiées a le droit de… faire valoir ses droits.
Je sais, l'internet libre sans règles c'est cool. Jusqu'au jour où c'est un de vos proches qui en est victime.
L'internet super fliqué ce n'est pas mieux. Autant appliquer les règles déontologiquement acceptables et limiter les dérives.