Journal CNIL, accès aux données personnelles

Posté par  .
Étiquettes : aucune
0
19
juin
2007
Cher journal, j'ai remarqué que personne ne s'est adressé à toi de cette manière depuis un petit moment (excepté un lourd isolé hier).

J'ai des questions à te poser sur la CNIL et le droit d'accès aux données personnelles.

Voilà, en France, on a le droit de demander à n'importe quelle entreprise de nous fournir une copie de toutes les données qu'elle possède sur nous (moyennant éventuellement des frais raisonnables pour leur préparation et leur envoi). La CNIL propose d'ailleurs un formulaire afin de générer un courrier à envoyer directement : http://www.cnil.fr/index.php?id=1651

J'ai pensé à utiliser ce système mais je me suis heurté à plusieurs interrogations :

  • Que se passe-t-il pour les sites sur lesquels je ne suis pas inscrit en utilisant mon nom ? LinuxFR par exemple, ne connait pas mon vrai nom, ai-je le droit d'accéder quand même à mes données personnelles enregistrées par LinuxFR ?

  • Je suis français mais je ne vis pas en France. Puis-je demander à une entreprise en France de me montrer des données personnelles collectées alors que j'étais au Canada ? Est-ce qu'un Français vivant en France peut demander à une entreprise canadienne les données qui le concernent et qui ont été collectées alors qu'il était en France ?

  • Puis-je raisonnablement m'attendre à ce qu'une entreprise m'envoie ces données au Canada, étant donnés les frais d'envoi peut-être élevés ?

  • Même dans le cas le plus simple d'un Français vivant en France, peut-on réellement s'attendre à une réponse de la part de Google, Yahoo ou Microsoft par exemple ?

  • Si l'entreprise refuse et que je saisis la CNIL, celle-ci a-t-elle réellement le pouvoir de les obliger à me montrer ces données ?




Voilà, mon cher journal, j'attends tes réponses avec impatience.

  • # ...

    Posté par  . Évalué à 5.

    Une autre question est qu'est ce qui prouve que la société à envoyé toute les données.

    PS : on peut le demander aussi pour l'état (fichier d'infraction, RG, ...).

    • [^] # Re: ...

      Posté par  . Évalué à 5.

      Qu'est-ce qui prouve que les preuves ne sont pas truquées ?

      • [^] # Re: ...

        Posté par  . Évalué à 7.

        qu'est ce qui empêchent les vendeurs d'adresses email de collecter tout ce qui traine, de les vendre à des grands naïfs ou des marchands de tapis parfaitement complices "c'est bien du 100 % opt-in ?" "mais oui mon frère promis juré" et de se contenter d'un "ah boooon ? oh là là mais quelle erreur excusez-nous excusez-nous" quand on vient leur demander des comptes ?

        rien ? c'est ce qu'ils font déjà ? ah bon. d'ailleurs tu auras du mal à les trouver et les joindre et enfin à leur faire entendre raison, ce ne sont pas eux les spammeurs^Wutilisateurs de ces bases d'adresses, et aucune demande de désinscription éventuellement présente dans les spams^Wmails de leurs clients ne remontera à ces braves gens, ha ha, trop simple

        elle est pas belle, la vie ? suffit juste de mentir un petit peu à tout le monde

        • [^] # Re: ...

          Posté par  (site web personnel) . Évalué à 1.

          Surtout que maintenant (sepuis la loi Sarko 2003 si mes souvenirs sont bons) ils sont dans l'obligation de garder des archives 1an.

          Un jour libre ?

  • # hmmm

    Posté par  . Évalué à 4.


    * Que se passe-t-il pour les sites sur lesquels je ne suis pas inscrit en utilisant mon nom ? LinuxFR par exemple, ne connait pas mon vrai nom, ai-je le droit d'accéder quand même à mes données personnelles enregistrées par LinuxFR ?

    Dans la mesure où tu es français, a priori oui. Mais il te faudrait je pense pouvoir démontrer que tu es bien la personne que tu dis être.


    * Je suis français mais je ne vis pas en France. Puis-je demander à une entreprise en France de me montrer des données personnelles collectées alors que j'étais au Canada ? Est-ce qu'un Français vivant en France peut demander à une entreprise canadienne les données qui le concernent et qui ont été collectées alors qu'il était en France ?

    Il me semble que c'est valable dès lors que le site est hébergé en france ou si le responsable du site est français (et le site hébergé ailleurs) et que tu es citoyen français.
    par exemple, dell n'est pas une entreprise française, mais a ses serveurs en france, il y est donc soumis.
    DLFP a bien ses serveurs en france et le responsable (personne morale) est français, même chose donc.


    * Puis-je raisonnablement m'attendre à ce qu'une entreprise m'envoie ces données au Canada, étant donnés les frais d'envoi peut-être élevés ?

    comme tu le dis plus haut : dans la limite du raisonnable, il peut te demander de payer les frais de préparation et d'envoi, donc normalement, oui.
    Je te conseillerais cependant de joindre une enveloppe prétimbrée :)


    * Même dans le cas le plus simple d'un Français vivant en France, peut-on réellement s'attendre à une réponse de la part de Google, Yahoo ou Microsoft par exemple ?

    hé oui, cf plus haut
    le texte dit :


    http://www.cnil.fr/index.php?id=301

    1° Dont le responsable est établi sur le territoire français. Le responsable d’un traitement qui exerce une activité sur le territoire français dans le cadre d’une installation, quelle que soit sa forme juridique, y est considéré comme établi ;

    2° Dont le responsable, sans être établi sur le territoire français ou sur celui d’un autre État membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l’exclusion des traitements qui ne sont utilisés qu’à des fins de transit sur ce territoire ou sur celui d’un autre État membre de la Communauté européenne.



    * Si l'entreprise refuse et que je saisis la CNIL, celle-ci a-t-elle réellement le pouvoir de les obliger à me montrer ces données ?

    en théorie, oui. En pratique, elle est déjà surbmergée de travail, je ne suis pas convaincu que ça donne quelque chose, m'enfin, ca ne coûte rien à faire :=)

    • [^] # Re: hmmm

      Posté par  (site web personnel) . Évalué à 2.

      Attention, concernant Google et autres, si vous avez un comptes (ou pas d'ailleur) regardez les conditions générale d'utilisation qui fixe la domiciliation juridique applicable et les règles concernant la protection de la vie privée. Je pense que cela cloisonne le tout dans les lois américaines pour les groupes Google et Yahoo!

      Dans tout les cas, le ""contrat"" que vous passez en créant un compte détermine la juridiction compétente.

      Pour LinuxFR, oui tu peux demander en prouvant bien entendu que tu es le propriétaire du compte pour lequel tu veux les données. Que ce soit sous un pseudo est peu important dans le sens ou je pense les IP sont logués et sont considérés comme des données personnelles (idem pour un email)

      • [^] # Re: hmmm

        Posté par  . Évalué à 6.

        sauf que la loi est au dessus des CGU, en france tout du moins. Donc si google a des serveurs en france, google france existe, il n'y a pas de raison que la cnil ne puisse être saisie :)

      • [^] # Re: hmmm

        Posté par  (site web personnel) . Évalué à 2.

        L'IP n'est pas vraiment personnel, à cause des rotation et des proxy et autres joyeusetés.

        • [^] # Re: hmmm

          Posté par  (site web personnel) . Évalué à 3.

          Sur le lien http://www.cnil.fr/index.php?id=1253&user_cnilfaq_pi3_ac(...) (C'est une FAQ ), question : "Qu'est-ce qu'une donnée personnelle ? "
          On a :
          Une donnée personnelle est une information qui permet de vous identifier ou de vous reconnaître [...]. Il peut s’agir d’un nom, prénom, date de naissance, adresse postale, adresse électronique, adresse IP d’un ordinateur,...

          • [^] # Re: hmmm

            Posté par  . Évalué à 2.

            adresse IP d’un ordinateur


            Oula ! ils espèrent identifier quelqu'un avec une IP eux ?

            • [^] # Re: hmmm

              Posté par  (site web personnel) . Évalué à 1.

              Quand je vois qu'on est déjà au moins 2 à trainer sur ce site avec la même ip...

              • [^] # Re: hmmm

                Posté par  . Évalué à 2.

                Ben ouais : tu es derrière un proxy ?

              • [^] # Re: hmmm

                Posté par  (site web personnel) . Évalué à 1.

                Et encore, on ne compte pas ceux qui passent par le proxy national de leur boîte (moi actuellement, par exemple)...

                Ici nous avons 60 000 utilisateurs identifiés par la même adresse IP, c'est très personnel comme donnée :)

              • [^] # Re: hmmm

                Posté par  . Évalué à 5.

                Toi et la personne en dessous vous inversez le problème. Ce n'est pas parce que si on a votre adresse ip (et l'heure associée) on ne sais pas vous identifier (car vous êtes au moins deux ou 60 000 respecivement) que c'est le cas pour le "reste du monde". Disons que pour une partie des gens, le couple IP+logs du FAI permet d'identifier une personne (ou une famille, plus généralement)

                • [^] # Re: hmmm

                  Posté par  . Évalué à 3.

                  et pour ceux qui sont derriere un proxy ... les proxy ont aussi un log.
                  Et les postes ont aussi un log des connections
                  Idem avec les proxy authtentifiant, les systemes d'authentification radius kerberos, etc...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.