Question #RGPD à la con tient…Disons qu’une boîte collecte des données qu’elle est supposée conserver uniquement 2 ans. 6 mois après la collecte, elle en revend à un tiers. Le tiers doit-il tenir lui-même compte de la durée de rétention initiale pour ses propres rétentions ? 🤔 Ça me semblerait vachement gros que lui puisse décider de les conserver à nouveau pendant X années, sachant qu’elles sont supposées ne plus exister sous 18 mois à la base 🤔
Conversation
Avis
-
Statut de aeris 🏳️🌈 (aeris@social.imirhil.fr) sur Tuesday, 22-Dec-2020 10:56:57 CET
aeris 🏳️🌈
-
Statut de aeris 🏳️🌈 (aeris@social.imirhil.fr) sur Tuesday, 22-Dec-2020 10:57:33 CET
aeris 🏳️🌈
(Et puis du coup il lui suffirait alors de les offrir à la boîte initiale pour reset le compteur si ce n’était pas le cas… 🤔)
-
Statut de aeris 🏳️🌈 (aeris@social.imirhil.fr) sur Tuesday, 22-Dec-2020 10:59:11 CET
aeris 🏳️🌈
Dit autrement, la rétention d’une donnée X doit-elle être au maximum la durée de rétention initiale de la collecte et disparaître de l’ensemble de la planète passé ce délai, ou chaque saut réinitialise les tablettes et chacun peut convenir à sa guise d’une rétention ? 🤔
-
Statut de aeris 🏳️🌈 (aeris@social.imirhil.fr) sur Tuesday, 22-Dec-2020 11:18:07 CET
aeris 🏳️🌈
@richard Là il n’y a pas de modification de données par l’utilisateur. La question est uniquement la nouvelle date de rétention à retenir après une vente/achat de données :
- date collecte + rétention vendeurou- date achat + rétention acheteurou- min(date collecte + rétention vendeur, date achat + rétention acheteur)ou- min(date collecte + rétention vendeur, date collecte + rétention acheteur)
🤔
-
Statut de Richard Dern (richard@microblog.getcyca.com) sur Tuesday, 22-Dec-2020 11:18:08 CET
Richard Dern
@aeris Je vais peut être dire une connerie hein, mais: et si on arrêtait purement et simplement de collecter des données ? Qu'on supprimait le concept même.Ou, peut être même mieux, mais là je suis un joyeux naïf, que les sites qui souhaitent collecter des données, le fasse via l'API LocalStorage ?Mais sinon, une réponse à ta question pourrait être: chaque fois que les données sont modifiées par l'utilisateur, leur durée de rétention est réinitialisée. -
Statut de aeris 🏳️🌈 (aeris@social.imirhil.fr) sur Tuesday, 22-Dec-2020 11:20:10 CET
aeris 🏳️🌈
@richard J’aurais tendance à dire 4 du coup, que la date de départ soit la date de collecte initiale de la donnée, quelque soit le nombre de revente derrière, et que la durée de rétention soit celle de la plus petite durée légale de la chaîne.
-
Statut de aeris 🏳️🌈 (aeris@social.imirhil.fr) sur Tuesday, 22-Dec-2020 11:22:02 CET
aeris 🏳️🌈
@richard Ah mais je vote totalement pour 🤣
-
Statut de Richard Dern (richard@microblog.getcyca.com) sur Tuesday, 22-Dec-2020 11:22:03 CET
Richard Dern
@aeris Oui mais en fait la première partie de ma réponse partait du principe qu'on rende purement et simplement illégale la revente de données. -
Statut de tleb (tleb@mamot.fr) sur Tuesday, 22-Dec-2020 11:33:24 CET
tleb
@aeris Ensuite, d'après § 2, la chaine de sous-traitance doit être déterminée et communiquée au responsable du traitement. Je ne vois rien qui oblige le responsable du traitement à communiquer à la personne la sous-traitance exploitée mais j'ai vraiment pas tout lu.
Le texte est assez lisible je trouve, ça donne envie de le lire en entier.
Bien sûr, mon raisonnement n'est pas un conseil légal, etc.
https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679&from=FR
2/2
-
Statut de aeris 🏳️🌈 (aeris@social.imirhil.fr) sur Tuesday, 22-Dec-2020 11:33:24 CET
aeris 🏳️🌈
@tleb La communication de la liste des sous-traitants est une obligation issue de WP/EDPB & autres CNIL européennes. Là la question est surtout de savoir si les boîtes intermédiaires doivent connaître en entrée la date d’expiration initiale des données et ne peuvent jamais la dépasser ou non.
-
Statut de tleb (tleb@mamot.fr) sur Tuesday, 22-Dec-2020 11:46:26 CET
tleb
@aeris Il y a un responsable du traitement des données. Celui-ci est en tord si ce traitement des données ne respecte pas le règlement, par exemple en dépassant la période allouée.
> le responsable du traitement met en œuvre des mesures techniques et organisationnelles appropriées pour s'assurer et être en mesure de démontrer que le traitement est effectué conformément au présent règlementArticle 24 § 1
https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679&from=FR#d1e3089-1-1
-
Statut de aeris 🏳️🌈 (aeris@social.imirhil.fr) sur Tuesday, 22-Dec-2020 11:46:26 CET
aeris 🏳️🌈
@tleb Là on ne parle pas de sous-traitance mais de revente de données.
-
Statut de aeris 🏳️🌈 (aeris@social.imirhil.fr) sur Tuesday, 22-Dec-2020 11:47:23 CET
aeris 🏳️🌈
@tleb Et plus exactement de quelle date initiale retenir pour calculer la date d’expiration des données (date initiale de collecte ou date de revente) et quelle durée de rétention appliquer (celle initiale, celle de l’acheteur, le min des 2 ?) 🤔
-
Statut de tleb (tleb@mamot.fr) sur Tuesday, 22-Dec-2020 12:21:25 CET
tleb
@aeris Tu supposes donc que la vente de données à caractère personnel est autorisée par la RGPD.
> Les données à caractère personnel doivent être b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités.Article 5
Je n'ai pas l'impression qu'une finalité déterminée puisse être une revente sans connaître l'utilisation qui sera faite par l'acheteur.
-
Statut de aeris 🏳️🌈 (aeris@social.imirhil.fr) sur Tuesday, 22-Dec-2020 12:21:25 CET
aeris 🏳️🌈
@tleb En soi tu peux avoir comme finalité « revente à des tiers » et ça nécessite ton consentement.https://www.cnil.fr/fr/transmission-des-donnees-des-partenaires-des-fins-de-prospection-electronique-quels-sont-les
-