Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Vente : obligation légale de conservation disproportionnée à la finalité ?

glucas

Un truc me trotte dans la tête depuis des jours et je voudrais vous le partager. C'est pas encore mature ni rien, plus une idée en l'air, mais bon, je lance la réflexion.

Ces dernières semaines, il y a eu beaucoup de fuites de DCP, cf. https://next.ink/150142/avis-sest-aussi-fait-pirater-des-donnees-personnelles-mais-egalement-bancaires/.

Les fuites proviennent essentiellement de magasins (en ligne).

Les DCP sont essentiellement des DCP courantes relatives à l'identité.

Les achats > 120 € sont consignés 10 ans sur obligation légale, cf. https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000049128617.

Ça veut dire que même si le vendeur efface tout le reste sur toi (profilage éventuel, traçage sur site web, etc.), il doit conserver tes achats et ton identité. Or, ce sont les DCP convoitées et qui fuitent. Tout repose donc sur la seule sécurisation du SI.

Le délai de conservation de 10 ans prévu par décret n'est-il pas disproportionné à la finalité ? Le seuil de 120 € déclenchant une conservation de 10 ans n'est-il pas trop bas ?

Si on le pense, PURR peut contester le décret devant le CE (procédure Alitalia).

aeris

glucas J’aurai tendance à dire que ce n’est pas disproportionné en l’état.

Le problème vient surtout de la non sécurisation du SI qu’autre chose. En soit les données proches de 10 ans (et en vrai dès 1-2 ans) devraient être offline et sur des systèmes difficilement atteignables par des attaquants.

Mais les boîtes ne respectent strictement rien là-dessus et collent tous sur la prod au même niveau que les données live… C’est surtout ça que la CNIL devrait sanctionner actuellement et je m’étonne même de ne pas voir plus de sanction à ce sujet sur les contrôles menés…

glucas

aeris J'y avais pas pensé (peut-être parce que personne fait des bases intermédiaires et d'archive, en vrai). On retrouve ça dans le référentiel de la CNIL (https://www.cnil.fr/sites/cnil/files/atoms/files/referentiel_traitements-donnees-caractere-personnel_gestion-activites-commerciales.pdf, page 4).

Côté personne concernée, c'est impossible de savoir si le vendeur a des bases intermédiaires et tout. S'il ne le mentionne pas dans sa politique RGPD, qu'on va demander au DPO, il va répondre à côté comme d'hab, et la CNIL n'ira pas investiguer. Dans ce contexte, réduire la durée légale de conservation paraît pertinent… On a vraiment besoin de conserver pendant 10 ans ce que Machin a acheté ? Franchement, j'en doute beaucoup quoi.