La généralisation abusive (« Manifestement, quand on est un organisme public ») à partir d’un exemple suffit déjà à discréditer le fond de l’article…
Enfin, par curiosité, je suis remonté sur le nom de l’auteur (autrice), et j’ai compris…
C’est son style habituel.
Tout ce qui est excessif etc etc
Ce qui est excessif c’est les 43 millions de dossiers dans la nature comprenant : nom et prénom, numéro de Sécurité sociale, date de naissance, identifiant France Travail, adresses mail et postales et numéros de téléphone
Et oui les organismes publics doivent être exemplaires sinon à quoi ça sert tous ces textes sur la protection des données personnelles ?
Et d’où il serait « évident » qu’ils ne le sont pas (sous-entendu « tous »)??
Accessoirement, il y a des préoccupations légitimes qui expliquent la tendance à « archiver » et non pas détruire. Exemple bête : un litige juridique qui oblige à remonter dans le temps… Que je sache, les limites du RGPD ne sont pas celles de la justice…
Méfions-nous des jugements hâtifs, il existe aussi un « populisme » numérique…
Il y a certainement d’autres points de vue que celui de cette chère Tris…
Ben si
On ne s’assoit pas sur le RGPD. Comme tout réglement il doit être respecté et s’il n’est pas respecté les données devant la justice n’ont aucune valeur. Pour l’instant nous sommes toujours dans un état de droit
Me suis mal exprimé. Il faut prendre la phrase dans l’autre sens …
a) évidemment que le RGPD s’impose comme référence légale. Il ne s’agit pas de «s’assoir dessus» !
b) mais INVERSEMENT, je doute que l’argument qui serait « je ne peux pas vous fournir les preuves que vous demandez (ou dont j’ai besoin) parce que le RGPD a exigé que je les supprime » soit franchement recevable…
(exemple presque vécu) En cas de litige avec un « ancien » salarié, ça ne consolera pas de dire « désolé Mr le juge, Mr X n’étant plus salarié chez nous, j’ai supprimé toutes les informations […] ». C’est très « gentil » réglementairement parlant, mais si ça empêche, dans un sens ou dans l’autre, l’éclaircissement d’un litige, c’est se tirer une balle dans le pied.
Donc, il est plus raisonnable/prudent de « retirer » les informations du système en production (sans les « détruire »), mais elles sont plutôt archivées dans un coin « au cas où ». Quand bien même, réglementairement, on pourrait s’en dispenser et se laver les mains de toutes les conséquences ultérieures…
La CNIL répond a cette question. Il y a
- Conservation en base active
- Archivage intermédiaire
- Archivage définitif
Que des pirates aient pu accéder à des données personnelles de 20 ans d’age est une manière pour France Travail de s’asseoir sur le RGPD
Les durées de conservation des données | CNIL
« Que des pirates aient pu accéder à des données personnelles de 20 ans d’age est une manière pour France Travail de s’asseoir sur le RGPD »
C’est assez léger de déduire d’une action illégale et mal intentionnée, le positionnement d’un organisme public /administratif.
Dans ce cas, faire tout simplement un signalement à la CNIL !!
Je peux assurer que la CNIL est très zélée pour donner suite à la moindre plainte, même quand elle provient d’une personne qui n’a rien compris du sujet et qui ne fourni aucun argument solide. Et ça, c’est du vécu perso 
Est-ce que Tris a porté plainte ??
Au passage, un léger détail est oublié dans ce débat.
Cette chère Tris pense que c’est SON point de vue qui doit réglementer le fonctionnement de France Travail. Je crains que ce ne soit pas le cas : c’est l’organisme qui défini SON fonctionnement par rapport à SES besoins. Et ses besoins sont déclarés à la CNIL qui évalue leur pertinence.
Tris fait également une deuxième simplification : Elle suppose que France Travail est un organisme administratif complètement isolé. On peut parfaitement imaginer que les données de France Travail soient recoupées avec d’autres administrations (avec une « durée de vie » bien plus longue).
Maintenant, à supposer que Tris ait raison, il suffit d’attendre la sanction 
C’est tellement flagrant qu’il y a bien une asso un peu activiste qui va sauter sur une si belle occasion servie sur un plateau et exiger une sanction exemplaire !
En définitive il n’y a « que » entre 1 et 1,5 million de personnes concernées par le piratage de France Travail…
Avec France Travail c’est facile : quelques coups de fil et hop c’est le gros lot 
Instructif
Dans l’affaire du piratage des ENT certains ressortiront que le problème est « entre le clavier et la chaise ». Cette explication simpliste permet de dédouaner les concepteurs mais surtout toutes la chaine de « commandement » pour rendre responsable l’utilisateur final (le lampiste) alors qu’à l’Éducation Nationale comme ailleurs la numérisation a été faite à marche forcée sans formation ni information. Je ne parle pas des pauvres techniciens qui se retrouvent seuls à gérer plusieurs établissements. Comme souvent il n’y a pas un responsable mais un système avec des responsables qui décident et des exécutants qui ne remettent pas en cause les ordres
" Combien de temps sont conservées ces données ?
Pour les personnes qui ne sont pas inscrites sur la liste des demandeurs d’emploi, les espaces personnels sont supprimés 13 mois après la dernière connexion.
Pour les personnes inscrites sur la liste des demandeurs d’emploi, les espaces personnels et les données sont conservés pendant une durée maximale de 20 ans après la cessation d’inscription sur la liste des demandeurs d’emploi dans les conditions prévues à l’article R. 5312-44 du code du travail."
Via hasard en lisant ma presse locale (voix du nord), qui indique également que la justification (légale évidemment) est … faire face à des contentieux ou des obligations légales. CQFD.
Pour des journalistes c’est «instructif» mais pour France Travail c’est un scandale…
Le phishing fonctionne (malheureusement) dans n’importe quelle structure. Y compris les plus diplômées ou sensibilisées.
Le paramètre principal est donc la taille de l’«échantillon» attaqué. Il y aura TOUJOURS quelques pourcents qui se feront piégés. (Qu’ils soient fonctionnaires ou pas