CNIL – Avis sur projet de décret, CESE – Avis 2022-023

Décision

Autorité:

CNIL ou équivalent

Numéro:

Avis 2022-023

Nom:

Avis sur projet de décret, CESE

Date:

17 février 2022

Pays:

France

Lien:

Cliquer ici

Contexte

En application de La loi Informatique et Libertés, a CNIL a été saisie en urgence par le ministère de la justice d’un projet de décret portant application de l’article 4-1 de l'ordonnance n° 58-1360 du 29 décembre 1958 portant loi organique relative au Conseil économique, social et environnemental (CESE). Une saisine rectificative lui a été transmise le 22 décembre 2021. Le projet de décret vise à préciser les modalités et les conditions de recevabilité de la saisine du CESE par voie de pétition. Il définit les informations collectées auprès des signataires des pétitions et en détermine la durée de conservation.

A propos du débat concernant la journalisation, le ministère estime que l’article 32 du RGPD n’impose pas de prévoir dans l’acte instaurant le traitement un système de journalisation et qu’un tel système n’est pas nécessaire en l’espèce.

Apport(s)
Traitements mis en œuvre par le CESE dans le cadre des saisines par voie de pétition - Journalisation Extrait(s) pertinent(s)(15.) [Dans le cadre concerné,] la Commission considère comme indispensable la mise en place d’un système de journalisation, permettant de conserver une trace des opérations de consultation, création et modification des données, conforme à sa délibération n° 2021-122 du 14 octobre 2021 portant adoption d'une recommandation relative à la journalisation. En particulier, une durée de conservation des journaux de six à douze mois est préconisée, et ces journaux doivent faire l’objet d’un contrôle automatique régulier, afin de détecter les comportements anormaux et de générer des alertes le cas échéant. Le traitement proactif de ces journaux est d’autant plus pertinent que les données relatives à une pétition ont vocation à être traitées rapidement et peuvent conduire à des prises de décisions significatives pour l’institution et la société. Si aucune disposition du RGPD n’impose effectivement de prévoir un système de journalisation dans l’acte réglementaire créant le traitement, la Commission rappelle que le fait de le prévoir dans le décret oblige l’administration à le mettre en place et constitue une garantie importante. Article(s) du RGPD Article 32 – Sécurité du traitement Fait référence à Autres informations

Apport(s)

Traitements mis en œuvre par le CESE dans le cadre des saisines par voie de pétition - Journalisation

Extrait(s) pertinent(s)(15.) [Dans le cadre concerné,] la Commission considère comme indispensable la mise en place d’un système de journalisation, permettant de conserver une trace des opérations de consultation, création et modification des données, conforme à sa délibération n° 2021-122 du 14 octobre 2021 portant adoption d'une recommandation relative à la journalisation. En particulier, une durée de conservation des journaux de six à douze mois est préconisée, et ces journaux doivent faire l’objet d’un contrôle automatique régulier, afin de détecter les comportements anormaux et de générer des alertes le cas échéant. Le traitement proactif de ces journaux est d’autant plus pertinent que les données relatives à une pétition ont vocation à être traitées rapidement et peuvent conduire à des prises de décisions significatives pour l’institution et la société. Si aucune disposition du RGPD n’impose effectivement de prévoir un système de journalisation dans l’acte réglementaire créant le traitement, la Commission rappelle que le fait de le prévoir dans le décret oblige l’administration à le mettre en place et constitue une garantie importante.
Article(s) du RGPD Article 32 – Sécurité du traitement
Fait référence à
Autres informations

Références

Cette décision cite...

> CJUE – Land Hessen – C-272/19

9 juillet 2020

Cette décision est citée par...

Signaler une erreur / Faire une suggestion