• [^] # Re: Pour moi, ça sera avec de la sauce caramel

    Posté par . En réponse au lien EU-OS, une démonstration de principe d'un OS pour le secteur public européen. Évalué à 3.

    Certes, le login était aussi l'email, mais ça ne change pas grand chose.

    Ben, si, ça change beaucoup de choses, en fait. Dans le cas que tu cites, la personne voulait faire rectifier son email, qui n'était pas le bon et qui aurait empêché la personne concernée de récupérer son compte en cas de difficulté, par exemple. La décision de l'autorité de contrôle portait en l'occurrence sur le fait que l'email devait pouvoir être modifié. Le fait que dans ce cas email=identifiant était le problème du responsable de traitement, et qu'il se débrouille pour corriger le tir. Mais rien ne dit que la décision aurait été la même pour un système découplant email et identifiant.

    Ton exemple sur la déduction de donnée est très valable, et la décision ne me surprend absolument pas non plus compte-tenu des risques encourus par les personnes concernées, mais je ne vois en revanche pas le lien avec un login sur un système interne, qui permet certes au rares personnes qui y ont accès de déduire que la personne concernée a porté un autre nom, mais ne met pas vraiment ses droits et libertés en péril (puisque c'est l'enjeu principal du RGPD dans la protection des personnes).

    Bref, je pense que tu extrapoles un peu trop vite à partir de choses qui ont beaucoup de sens sur un cas où ça en a beaucoup moins. Pour te donner un exemple qui illustre que l'application du RGPD n'est pas "tout noir ou tout blanc" et rejoindre l'exemple des obligations de transparence et du risque sur les données sensibles, on a en France eu une décision du conseil d'état (N°431875) qui a déterminé que la publication du statut de travailleur handicapé, sans précision sur la nature du handicap, ne valait pas publication d'une donnée de santé (en l'occurrence, il en a en revanche imposé la limitation dans le temps à ce qui était nécessaire). Cela prouve simplement qu'il y a des limites à l'exercice des droits, ces limites étant liées aux risques pour les personnes. Et dans le cas d'un login sur un système interne, je réitère, j'ai de forts gros doutes quant à la validité de tes conclusions.