Bienvenue sur le MOOC de la CNIL
Vous y trouverez l’ensemble des informations pour vous initier au RGPD et débuter ainsi la mise en conformité de votre organisme.
Ce dispositif gratuit est accessible jusqu’au mois de septembre 2021.
En suivant l’intégralité de ce MOOC, vous pourrez obtenir une attestation.
Si le RGPD est entré en application récemment, en plaçant l’Europe à l’avant-garde de la protection des données à caractère personnel, il ne doit pas nous dissuader de nous interroger en profondeur sur la question des identités, dont les contours se sont redéfinis à l’ère numérique. Il s’agit bel et bien de porter une réflexion critique sur des enjeux éthiques et philosophiques majeurs, au-delà de la seule question de la protection des informations personnelles et de la privacy.
Les politiques actuelles sur la protection des données mettent l’accent sur les droits de la personne. Mais elles ne prennent pas la mesure de la manière dont l’exercice de notre libre arbitre se voit de plus en plus empêché au sein d’environnements technologiques complexes, et encore moins des effets de la métamorphose numérique sur les processus de subjectivation, le devenir-soi de l’individu. On considère le plus souvent, dans ces textes, un sujet déjà constitué, capable d’exercer ses droits, sa propre volonté et ses principes. Or, le propre des technologies numériques – telle est la thèse ici défendue – est de participer à la formation des subjectivités selon un mode nouveau : en redistribuant sans cesse le jeu des contraintes et des incitations, elles créent les conditions d’une plus grande malléabilité des individus. Nous détaillons ces processus dans notre ouvrage Les identités numériques en tension.
Si les moyens mis en place par le RGPD sont clairement nécessaires pour soutenir l’initiative et l’autonomie de l’individu dans la gestion de sa vie numérique, il faut cependant souligner que les notions mêmes de consentement et de contrôle par l’utilisateur vis-à-vis de ses données, et sur lesquels le mouvement actuel repose, restent problématiques. Et cela parce que deux logiques, distinctes mais concordantes, sont aujourd’hui à l’œuvre.
Si une certaine sensibilité des utilisateurs aux traces laissées volontairement ou involontairement au cours de leurs activités en ligne, et dont il peut avoir connaissance (comme, par exemple, des métadonnées de connexion), semble s’accroître, et peut servir de support à l’approche basée sur le consentement, cette dynamique rencontre assez vite ses limites.
Tout d’abord, la multiplication des informations récoltées rend irréaliste l’exercice systématique du consentement et le contrôle par l’utilisateur, ne serait-ce qu’en raison de la surcharge cognitive que cet exercice effectif exigerait de sa part. Ensuite, le changement de nature des moyens techniques de collecte, exemplifiée par l’avènement des objets connectés, conduit à la démultiplication des capteurs qui collectent les données sans même que l’utilisateur puisse s’en rendre compte, comme le montre l’exemple, de moins en moins hypothétique, de la vidéo-surveillance couplée à la reconnaissance faciale et, plus amplement, le cas de toutes les connaissances que les opérateurs acquièrent sur la base de ces données. Il s’agit ici d’une couche de l’identité numérique dont le contenu et de nombreuses exploitations possibles sont absolument inconnus de la personne qui en est la source.
Qui plus est, une forte tendance des acteurs, étatiques et privés, consiste à vouloir décrire l’individu de manière exhaustive et totale, en créant le risque de le réduire à un ensemble de plus en plus complet d’attributs. Dans ce nouveau régime de pouvoir, le visible se réduit à ce qui peut être saisi en données, à ce qui relève de la mise à disposition immédiate des êtres, comme s’il s’agissait en fin de compte de simples objets.
La deuxième logique à l’œuvre dans nos sociétés hypermodernes touche à l’inscription de ce paradigme basé sur la protection et le consentement dans les mécanismes de la société néolibérale. La société contemporaine conjugue en effet deux aspects en matière de privacy : il s’agit de considérer l’individu comme étant visible de manière permanente, et comme étant responsable individuellement pour ce qui est vu de lui. Un tel ensemble de normes sociales se consolide à chaque fois que l’utilisateur exerce le consentement – ou l’opposition – à l’utilisation de ses données. En effet, à chaque itération, l’utilisateur renforce sa compréhension de soi-même comme l’auteur et le responsable de la circulation des données. Il endosse aussi l’injonction à la maîtrise des données alors même que cette dernière est le plus souvent illusoire. Surtout, il endosse l’injonction à calculer les bénéfices que le partage des informations peut lui apporter. En ce sens, l’application stricte et croissante du paradigme de consentement peut être considérée comme étant corrélative d’une conception de l’individu qui devient non seulement l’objet d’une visibilité quasi-totale, mais aussi – et surtout – un agent économique rationnel, à même d’analyser son agir en termes de coûts et de bénéfices.
Cette difficulté fondamentale fait que les enjeux futurs des identités numériques ne se réduisent pas à donner plus de contrôle explicite, ou plus de consentement éclairé. Il convient bel et bien de trouver d’autres voies complémentaires, qui se situent sans doute du côté des pratiques (et non simplement des « usages ») des utilisateurs, à condition que de telles pratiques mettent en place des stratégies de résistance pour contourner l’impératif de visibilité absolue et de définition de l’individu comme agent économique rationnel.
De telles pratiques digitales doivent en outre nous inciter à dépasser la compréhension de l’échange social – numérique ou non – sous le régime du calcul des bénéfices que l’on en retire ou des externalités. Ainsi, les enjeux soulevés par les identités numériques dépassent largement les enjeux de protection de l’individu ou les enjeux des « modèles d’affaires », et touchent à la manière même dont la société dans son ensemble conçoit la signification de l’échange social. Dans un tel horizon, il est primordial d’affronter les ambivalences et les jeux de tension qui sont intrinsèques aux technologies numériques, en examinant les nouveaux modes de subjectivation qui sont induits dans ces opérations. C’est à partir d’un tel exercice de discernement que pourra advenir un mode de gouvernance des données plus responsable.
L'annonce sème le doute sur la sécurité des données génétiques.
Avec les tests d'ADN effectués chez soi, une nouvelle opportunité se présente pour les enquêteurs de police. Aux États-Unis, le FBI est récemment entré en collaboration avec Family Tree DNA, une entreprise qui propose à tout un chacun de prélever son propre ADN pour le faire analyser. Ces kits prêts à l'emploi se composent de deux bâtonnets pour prélever l'ADN à l'intérieur de la joue. Le kit est ensuite renvoyé à l'entreprise pour être analysé et établir l'arbre généalogique ainsi que l'origine du volontaire.
Pour la première fois, une société privée de ce secteur a accepté de mettre volontairement à disposition des forces de l'ordre une partie de ses données. Néanmoins, le FBI ne peut pas parcourir librement la base de Family Tree. Dans un communiqué, l'entreprise détaille sa relation avec le Bureau d'investigation en précisant n'avoir signé aucun contrat et dit travailler au cas par cas pour comparer des échantillons à sa bibliothèque de données. Elle revendique avoir contribué à moins de dix enquêtes.
Depuis deux ans déjà, la police et le FBI ont utilisé des données généalogiques publiques pour élucider des affaires non résolues. Le «Golden State Killer», un tueur en série soupçonné de douze meurtres et cinquante et un viols entre 1974 et 1986, a pu être arrêté en avril 2018. L'ADN collecté sur les scènes de crime a pu être confondu avec celui d'un membre de sa famille.
À LIRE AUSSI La maltraitance des enfants pourrait bien laisser des traces sur l'ADN
Enjeu de sécurité
Le rapprochement entre les deux organismes a engendré beaucoup de doutes sur la privatisation des données. «Globalement, je me sens abusée, je sens que ma confiance en tant que client a été trahie», a déclaré Leah Larkin, une généalogiste génétique de Livermore, en Californie, à BuzzFeed News. Le site offre à ses adeptes la possibilité de refuser d'apparaître dans les résultats dont peut se servir le FBI, mais cela implique que la fonctionnalité phare du test –retrouver des proches– n'est plus disponible.
Un généalogiste a relevé d'après un sondage informel réalisé aux États-Unis et en Europe que 85% des personnes interrogées sont à l'aise avec l'idée que les forces de l'ordre utilisent leur ADN.
Family Tree annonce recenser 1.021.774 entrées dans sa banque de données. À titre de comparaison, ses deux principaux concurrents dans le monde, Ancestry.com et 23andMe en possèdent respectivement dix millions et cinq millions.
« S’agissant de notre profil numérique, les données que nous choisissons de partager ne sont que la pointe de l’iceberg. Nous ne voyons pas le reste, cachés sous la surface des interfaces conviviales des applications mobiles et des services en ligne. Les données les plus précieuses sur nous sont inférées hors de notre contrôle et sans notre consentement. Or, ce sont ces couches plus profondes et que nous ne pouvons pas contrôler qui prennent réellement les décisions qui nous affectent, pas nous », explique Katarzyna Szymielewicz (@szymielewicz), cofondatrice et présidente de la Fondation Panoptykon, une association polonaise de défense des libertés individuelles et des droits de l’homme dans la société de surveillance (qu’on pourrait considérer comme l’équivalent de la Quadrature du Net en France) – dans une tribune pour Quartz.
Dans un graphique particulièrement parlant (à consulter en haute définition), la Fondation Panoptykon détaille les 3 couches d’information qui composent nos identités en ligne.
La première couche d’information est la seule sur laquelle nous avons le contrôle. Elle se compose des données que nous insérons dans les médias sociaux ou les applications (informations de profil, publications, requêtes, photos, événements, déplacements…).
La seconde couche est constituée d’observations comportementales et de métadonnées qui donnent un contexte à ces choix : position en temps réel, graphe de nos relations intimes et professionnelles, le temps que nous passons, les habitudes d’achat, les mouvements de nos souris ou de nos doigts…
La troisième couche est composée des interprétations de la première et de la seconde couche. Nos données sont analysées et comparées en permanence à d’autres profils pour inférer des corrélations statistiques significatives… Ce qu’on appelle souvent la personnalisation, mais qui vise plus à nous catégoriser qu’à nous distinguer.
Le problème est que si l’utilisateur contrôle la première couche, ce n’est pas le cas des deux autres. Or ces inférences permettent de déterminer beaucoup de nos comportements : profil psychométrique, QI, situation familiale, maladies, obsessions, engagements… Or, nombre de décisions contraignantes sont prises depuis ces interprétations et corrélations. Le problème est que le « double » numérique que le traitement de ces données produit ne nous est pas accessible… et que si nous y avions accès, nous pourrions ne pas nous y reconnaître. « Que diriez-vous si vous découvriez que votre « double de données » est malade ou émotionnellement instable, sans possibilité de crédit, ou plus simplement pas assez cool, et tout cela à cause de la façon dont vous faites vos requêtes en ligne ou de vos relations en ligne ? »
Les algorithmes prennent des décisions basées sur des corrélations statistiques. Et il est possible – même fréquent – qu’un algorithme interprète mal votre comportement… Le problème, souligne Katarzyna Szymielewicz est que si le résultat de cette analyse est discriminatoire ou injuste – « par exemple que votre demande de crédit est refusée parce que vous vivez dans le « mauvais » quartier, ou que votre demande d’emploi ne parvient pas à aboutir parce que votre réseau de relation n’est pas « suffisamment robuste » » – il n’y a aucune incitation du marché à le corriger. Pour la présidente de Panoptykon, nous ne sommes pas si loin du Score de crédit social chinois ! Nous devons reprendre le contrôle du traitement dont nous sommes l’objet.
Pour cela, il nous faut d’abord mieux contrôler la première couche de notre profil. Nous pouvons chiffrer nos communications, désactiver les métadonnées de nos images, veiller à ce que nos téléphones n’aient pas accès par défaut à nos emplacements, réfléchir à ce que nous partageons… Mais même en faisant ces efforts, nous ne pouvons pas contrôler ce qui est observé et interprété par les algorithmes dans les deuxièmes et troisièmes couches de nos profils. Pour Katarzyna Szymielewicz, il nous faut agir collectivement pour convaincre ceux qui font du profilage de modifier leur approche, de nous montrer leurs calculs, de nous demander notre consentement et de le respecter. Le RGPD accorde aux utilisateurs le droit de vérifier leurs données, y compris les profils marketing générés par-devers eux. « Tant que nous traitons les courtiers en données et les spécialistes du marketing comme des ennemis et qu’ils nous traitent comme une ressource exploitation, il n’y aura pas de place pour une conversation constructive ».
« Dans les faits, la vie privée se réduit comme peau de chagrin, il faut en avoir conscience » selon Alexandre Lazarègue, avocat spécialiste du droit numérique. « Et le droit concernant les données personnelles n’en est qu’aux prémices, les problématiques ne vont que se multiplier. »
Il est « impossible de protéger à 100 % » les données personnelles sur internet, constate Alexandre Lazarègue, avocat spécialiste du droit numérique, alors que Facebook est secoué par de nouvelles révélations sur l’accès d’autres géants du web aux informations privées collectées par la plateforme.
Serait-il possible de mieux protéger les données personnelles sur internet ?
Du point de vue de la sécurité informatique, même si le RGPD (Règlement général de protection des données, entré en vigueur au niveau européen en mai dernier) par exemple impose des obligations en termes d’architecture de réseau pour mieux protéger les données stockées, tout le monde sait qu’en réalité il est impossible de protéger à 100 % d’un piratage ou d’une perte de données.
Ceux qui transmettent leurs données aux plateformes et grandes entreprises doivent avoir pleinement conscience qu’il n’existe aucune assurance totale de ne pas voir demain ces données perdues.
Du point de vue du droit, les entreprises font en sorte qu’il est très difficile à chacun d’assumer pleinement ses droits, les contrats sont tellement déséquilibrés que le consentement est dans les faits imposé. Et leur puissance économique est telle que les sanctions uniquement économiques, même quand il s’agit de 4 % du chiffre d’affaires mondial comme le prévoit le RGPD a un faible impact au final, quand on se souvient que Facebook par exemple gagne 500 000 dollars toutes les 7 minutes.
Le RGPD est toutefois venu donner plus de droits aux utilisateurs de grandes plateformes, voit-on une évolution des usages depuis son entrée en vigueur ?
En tant qu’avocat, j’ai pu constater un intérêt des citoyens quant à la question de la protection de leurs données personnelles, qui s’est matérialisé notamment par une multiplication des recours auprès de la CNIL (Commission nationale informatique et libertés, NDLR), en particulier en ce qui concerne le droit à l’oubli. Il y a globalement une prise de conscience que les données sont précieuses et ne peuvent être vendues.
Mais dans le même temps, après six mois d’exercice du RGPD, on constate qu’il y a de quoi l’améliorer. S’il s’applique tant aux petites qu’aux grandes entreprises, on voit que dans les faits il est très contraignant pour les petites alors que les plus grosses peuvent trouver le moyen de s’y soustraire.
La philosophie du règlement permet normalement une relation immédiate entre utilisateurs et entreprises, avec la possibilité du choix laissé dans l’usage des données mais dans les faits, on en est très loin et il y a encore beaucoup à améliorer en la matière pour que ce soit effectif.
Quelles sont les limites du RGPD dont profitent les grandes plateformes du net selon vous ?
La problématique est dans l’exercice réel des droits, du fait du déséquilibre existant entre utilisateurs et fournisseurs de service. Le RGPD octroie des droits mais en réalité les utilisateurs sont pris au piège de ces plateformes qui, de fait, imposent le consentement.
Dès lors que l’utilisateur consent à donner accès à ses données, même s’il en a le droit, dans les faits il n’a pas la possibilité de vérifier comment elles sont utilisées ni qui y a accès et souvent il n’a pas conscience d’avoir accordé un accès aussi large, parce que personne ne lit les dizaines de pages de conditions d’utilisation.
Pourtant il faut que les individus aient conscience de leur responsabilité et qu’ils comprennent que ces données qu’ils publient, même en privé, elles sont diffusées pour l’éternité, quand bien même il y a le droit à l’oubli.Mais dans le contexte de révolution numérique il est difficile d’échapper à ces services, qui pourtant se basent sur le traitement des données. Vouloir y échapper ce serait désormais se mettre en marge de la société.
La loi Informatique et Libertés et son décret d’application ont été modifiés afin de mettre en conformité le droit national avec le cadre juridique européen. Ces textes permettent la mise en œuvre concrète du Règlement général sur la protection des données (RGPD) et de la Directive « police-justice », applicable aux fichiers de la sphère pénale. La lisibilité du cadre juridique national sera améliorée par une ordonnance qui sera prise dans un délai de six mois.
La nouvelle loi Informatique et Libertés permet l’application effective des textes européens, qui représentent un progrès majeur pour la protection des données personnelles des citoyens et la sécurité juridique des acteurs économiques.
Elle dote notamment la CNIL des pouvoirs nécessaires à l’exercice de ses missions, dans un contexte marqué par la reconnaissance de nouveaux droits aux citoyens et le renforcement de la responsabilité des opérateurs.
Elle organise l’articulation nécessaire des procédures internes de la CNIL aux nouveaux mécanismes de coopération européenne.
Elle exerce certaines des « marges de manœuvre nationales » autorisées par le RGPD, transpose en droit français la Directive « police-justice » et modifie certaines de ses dispositions pour les rapprocher de la lettre du RGPD.
La bonne compréhension du cadre juridique suppose de combiner désormais les deux niveaux, européen et national. Le RGPD s’applique directement en droit français : il remplace sur de nombreux points (droits des personnes, bases légales des traitements, mesures de sécurité à mettre en œuvre, transferts, etc.) la loi nationale. Sur d’autres points (les « marges de manœuvre nationales »), la loi Informatique et Libertés reste en vigueur et vient compléter le RGPD : il s’agit par exemple du traitement des données de santé ou des données d’infraction, de la fixation à 15 ans du seuil d’âge du consentement des mineurs aux services en ligne, des dispositions relatives à la mort numérique, etc. Enfin, la loi nationale reste pleinement applicable pour tous les fichiers « répressifs », qu’il s’agisse de la sphère pénale ou du domaine du renseignement et de la sûreté de l’Etat. De nombreuses dispositions spéciales sont prévues en ces matières.
Une ordonnance de réécriture complète de la loi Informatique et Libertés est prévue, dans un délai de six mois, notamment afin de résoudre ces difficultés de lisibilité de ce cadre juridique composite. Dans l’attente, il convient de prêter une attention particulière au cadre juridique applicable à chaque traitement.
Le droit national a également été complété par un nouveau décret d’application de la loi Informatique et Libertés, qui achève la mise en conformité du droit national au cadre juridique européen. Ce décret, sur lequel la CNIL a rendu un avis le 21 juin 2018, a été publié le 3 août 2018. Il fixe plus précisément les délais et procédures applicables aux différentes missions de la CNIL et précise certaines dispositions de la loi.
Prétendue révolution, le RGPD n’est en réalité que l’expression plus aboutie d’une vision philosophique ancienne, tendant à rapprocher donnée, vie privée et personne humaine.
Le Règlement général sur la protection des données (RGPD) est entré en application en mai dernier, et avec lui son lot de provisions supposées renforcer la protection des données à caractère personnel. Prétendue révolution, ce texte n’est en réalité que l’expression plus aboutie d’une vision philosophique ancienne, tendant à rapprocher donnée, vie privée et personne humaine et s’opposant à une vision plus mercantile de la donnée, adoptée outre-Atlantique.
En développant massivement les services numériques, nos sociétés ont profondément transformé la notion de vie privée: consciemment ou non, chaque individu partage des informations plus nombreuses et plus diverses le concernant, faisant d’éléments ordinairement privés, des données connues par d’autres individus, des entreprises ou des administrations.
Parmi ces données comptent, de manière très immédiate et par exemple, les données de localisation collectées notamment par les smartphones et les diverses applications qui y sont installées, les données biométriques collectées à la demande d’édition d’un passeport ou encore les préférences alimentaires via les cartes de fidélité utilisées par les grands acteurs de la distribution.
En outre, la modification de la notion de vie privée est d’autant plus grande lorsque l’entité collectant initialement des informations sur un utilisateur, les recoupe, déduisant ainsi de nouvelles données, notamment par l’utilisation d’algorithmes.
Dans les deux cas, en face des possibilités offertes par la technologie, existent des risques pour les personnes concernées en cas de fuite de données comme le prouvent les nombreux scandales passés (Target, Ashley Madison, etc.) ou lors de la prise de décisions basées sur des données erronées. Dès lors, il appartient à chaque société, notamment par le droit, de contrôler les opérations portant sur des données à caractère personnel.
De l’anthropocentrisme aristotélicien à l’idée kantienne de respect de la personne, les philosophes européens ont longtemps considéré que toute chose de nature ontologique méritait une protection des plus absolues. Cette approche fondamentaliste, embrassant les droits humains, se retrouve par exemple en droit français dans le concept d’indisponibilité du corps humain, lui-même à l’origine de l’interdiction de vente d’organes, ou de la pratique des mères porteuses.
Le philosophe italien Luciano Floridi (Information: a very short introduction, 2010) crée à ce titre un parallèle éloquent entre la donnée et le corps humain en expliquant que la «quatrième révolution» (celle de l’informatique, en référence à Alan Turing) et la circulation accrue de données qui y est associée ont transformé la vie humaine à tel point que la donnée devrait être vue comme une extension de la personne humaine.
Ainsi, la marque de possession de la donnée à caractère personnel («mes données») se rapprocherait davantage du lien entre l’individu et son corps («mon bras») que de la marque de possession d’un objet («ma voiture»).
Droit à l’autodétermination informationnelle
En considérant la donnée comme une véritable émanation de la personne, celle-ci devient digne d’une protection très élevée. La volonté de protéger les données à caractère personnel est ainsi bien antérieure au RGPD en Europe, les premières législations relatives aux données à caractère personnel datant de 1970 (Land de Hesse, Allemagne), 1976 (Suède) et 1978 (France).
En Allemagne, la protection des données à caractère personnel revêt, en outre, un caractère constitutionnel depuis qu’en 1983 la Cour constitutionnelle a déduit de la Constitution fédérale un principe de droit à l’autodétermination informationnelle.
Ce principe dépasse la conception minimaliste de la vie privée («le droit d’être laissé tranquille») pour correspondre davantage à une protection large de la sphère privée et à la capacité de l’individu à participer de manière indépendante à la vie politique et sociale, comme l’expliquent Gerrit Hornung et Christoph Schnabel («Computer law and security report», 2009).
"Un renforcement progressif au sein de l’UE
L’Union européenne est également intervenue sur le sujet de la protection des données à caractère personnel avant le RGPD par l’adoption de la Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, créant un cadre général relatif à la protection des données à caractère personnel ainsi que par l’inclusion, dans la Charte des droits fondamentaux de l’Union européenne, d’un article 8 relatif à la protection des données à caractère personnel.
Sans constituer une révolution, le RGPD vient toutefois renforcer sensiblement la protection des données à caractère personnel, en ligne avec l’idéologie fondamentaliste présente en Europe.
À titre d’exemple, le Règlement a une portée plus large territorialement puisqu’il s’applique à des contrôleurs de données situés en dehors de l’Union européenne. Substantiellement également, il accorde davantage de droits aux personnes concernées et prévoit notamment des sanctions plus fortes en cas de non-respect.
Aux États-Unis: laissez-faire, laissez-passer
À l’opposé de la vision sacrée de la vie privée et de la considération quasi corporelle de la donnée, existe une vision plus matérielle de cette dernière, dérivée d’une vision plus mercantile de la vie privée.
Dans An economic theory of privacy (1978), Richard Posner dépeint la notion de privacy comme nocive pour le marché en ce qu’elle prive d’informations les agents dans leurs prises de décisions. Dès lors, il n’apparaîtrait pas justifié d’accorder une protection particulièrement élevée aux données mais plutôt d’en autoriser la libre aliénabilité, notamment en créant un droit de propriété de l’individu sur ses données comme le défendait récemment le think tank Génération libre.
La structure américaine s’inspire de cette logique mercantile et est ainsi moins contraignante pour les entreprises désireuses de collecter et traiter des données à caractère personnel. Elle s’oppose au choix européen d’un régime protecteur de l’individu, destiné à sécuriser sa confiance en l’économie numérique.
Au contraire d’une intervention publique forte comme l’est le RGPD, les premières initiatives de régulation aux États-Unis sont l’œuvre des acteurs privés ayant produit des codes de bonne conduite (voir notamment les guidelines de la Direct Marketing Association).
La liberté laissée aux grands acteurs du secteur symbolise parfaitement l’approche libérale choisie par le législateur américain, suivant la doctrine libérale du «laissez-faire, laissez passer» élaborée par Vincent de Gournay au XVIIIe siècle. Cette expression, symbole de la confiance en la capacité autorégulatrice du marché, explique alors la structure parcellaire du droit américain de la protection des données à caractère personnel.
Ce seul exemple de la structure du droit suffit à mettre en lumière les différences juridiques résultant des différences philosophiques dont font l’objet États-Unis et Union européenne. En effet, aucun texte général relatif à la protection des données à caractère personnel n’existe aux États-Unis et le législateur n’est intervenu que sporadiquement sur des points particulièrement sensibles (la protection des jeunes enfants avec le Children Online Privacy Protection Act, 1998) ou pour certains secteurs comme les télécommunications (1996) et la finance (1970, 1999).
Au-delà de l'usage de l'application Google Maps, le service de Google alimente un écosystème habitué de longue date à une quasi-gratuité. Aujourd'hui, Google change les règles.
Mise à jour du 16 juillet 2018 : la mise à jour tarifaire de Google Maps est entrée en vigueur après quelques semaines de retard. Les développeurs qui utilisent la Google Maps Platform ont pu recevoir un courriel.
Cela signifie en pratique que des sites pourraient voir leur utilisation de Google Maps invalidée par Google (s’ils n’ont tout simplement pas accepté les nouvelles CGU) — cela concernera les pages jamais mises à jour. Les gros utilisateurs qui ont bien compris l’augmentation tarifaire qui les attend devront s’y tenir… ou changer rapidement de plateforme. Une source qui a préféré rester anonyme nous indique que des délais ont pu être accordés à des professionnels qui n’auraient pas eu le temps de plancher sur le sujet.
Demain, les sites web avec des modules de cartographie non fonctionnels devraient commencer à apparaître.
Article original du 9 mai 2018 : On en a lu beaucoup, des chaînes d’e-mail ou de publications sur les réseaux sociaux qui disaient que tel ou tel service allait devenir payant. Alors quand cela arrive véritablement, on a un peu de mal à y croire. C’est pourtant ce que les utilisateurs professionnels de Google Maps ont découvert début mai 2018. Coupons court à toute polémique : l’application que vous utilisez sur votre smartphone nommée Maps ou la version web de Google Maps ne devient pas payante. C’est l’utilisation par les entreprises du service de Google qui va être monétisé… ce qui crée un vent de panique, plutôt justifié.
Mais de quoi est-il question ? Grosso modo, d’une nouvelle tarification qui entre en vigueur le 16 juillet 2018 — initialement le 11 juin, Google a pris du retard — et dont les détails peuvent être consultés sur cette page. Avant cela, Google laissait les entreprises utiliser Google Maps de manière assez libre, les seuils de vues qui déclenchaient une tarification n’arrivant qu’assez tard. Une carte dynamique pouvait s’afficher 25 000 fois par jour sur un site sans que l’entreprise qui l’a affichée ne débourse un centime. Les nouveaux tarifs sont radicalement différents : la même carte dynamique est gratuite pour 28 000 affichages… par mois. La tarification se fait ensuite au pack de 1 000 vues supplémentaires et est dégressive une fois un certain palier atteint.
D’après Fabien Nicollet, développeur spécialisé sur les applications professionnelles cartographie pour Business Geografic contacté par Numerama, les gros utilisateurs de Google Maps ne risquent rien : ils paient déjà Google pour une utilisation massive de données de géolocalisation.
On fait allusion ici aux sites de réservation touristique ou de cartographie GPS personnalisée, faisant autant d’appels à Google Maps qu’ils ont de visiteurs. Mais l’interface de programmation (API) de Google Maps n’est pas utilisée que par des mastodontes du web : startups, développeurs indépendants et TPE-PME utilisent aussi ces outils — c’est d’ailleurs l’une des API les plus utilisées au monde.
Un changement brutal
Pour ces entreprises qui dépassent les quotas gratuits, les choses vont changer du jour au lendemain : elles vont devoir payer, parfois cher, pour un service qui a longtemps été mis à disposition gratuitement. Les usages qui entrent dans le quota gratuit ne paieront rien, mais les utilisateurs devront tout de même renseigner leur carte bancaire pour continuer à utiliser Maps. « On parle de toutes les utilisations de l’API Google Maps, soit des centaines de milliers, voire des millions de pages internet, poursuit Fabien Nicollet. Pour ces entreprises, si elles n’ont pas renseigné de carte bancaire dans leur Google Console, c’est rideau. On ne sait pas encore sous quelle forme apparaîtront les cartes, mais a priori, cela ne fonctionnera plus. »
Le risque est de se retrouver avec un site qui affiche un message d’erreur à la place d’une carte. Et ce risque concerne tous les utilisateurs, du petit restaurant qui n’a qu’une centaine d’affichages par mois et qui ne sera jamais facturé au site du gouvernement qui utilise Google Maps : même les utilisateurs qui resteront dans la tranche gratuite devront renseigner une carte bancaire pour pouvoir continuer à utiliser l’API Google Maps.
Une énorme partie de ces utilisateurs qui ont un usage personnel des API de Google Maps, ne verront donc pas de changement, si ce n’est une mauvaise surprise le jour où ils constateront que le site de leur petite boutique affiche une erreur sur la page « Où nous trouver ». Mais pour toutes les entreprises de taille moyenne dont le cœur de métier est la cartographie, cela ne laisse qu’un mois pour se préparer. Et les options ne sont pas nombreuses : le concurrent ouvert Open Street Maps (OSM) ne propose pas autant de services que Google Maps. « OSM peut être gratuit, mais il ne propose pas ce que Google Maps propose : géocodage, itinéraire, Street View, Google Places, etc. », précise Fabien Nicollet.
Pour Christian Quest, ingénieur qui a consacré une publication Medium au sujet, ces difficultés doivent être converties le plus rapidement possible en opportunités : entre les business qui paient de toute façon leur utilisation de Google Maps et les particuliers ou petits qui ne verront pas de changement, se dresse aujourd’hui un marché sur lequel une concurrence aurait tout intérêt à s’implanter.
Et en effet, toutes ces entreprises pour qui l’abonnement sera devenu trop cher seront à la recherche d’alternatives moins onéreuses pour répondre à des besoins spécifiques que seul Google Maps était capable de proposer.
À bon entendeur.
À moins que vous n'ayez fait un voyage sur Mars, il n'a pas dû vous échapper que le règlement général sur la protection des données (RGPD) de l'Union européenne est entré en vigueur le 25 mai 2018.
Un arbre généalogique est un endroit peu propice à l'émergence de questions relatives au RGPD, car il concerne principalement des personnes décédées auxquelles le RGPD ne s'applique pas. Mais chaque arbre comporte des personnes vivantes et les historiens de la famille qui hébergent leurs propres sites web généalogiques doivent réfléchir aux implications du RGPD et à "ce qui se cache en dessous". Certains aspects du RGPD vont au-delà du consentement aux cookies et des déclarations de confidentialité.
Au cours des derniers mois, nous avons tous été confrontés à une avalanche de demandes de consentement à l'utilisation de cookies et d'acceptation des politiques de confidentialité des sites. Où que vous alliez, ces invites désormais familières apparaissent, et nous sommes peut-être devenus blasés à l'idée de les accepter.
Chacune d'entre elles nous demande d'approuver les informations associées à notre compte en ligne sur le site en question. Et c'est bien ainsi. Mais si nous gérons un site d'histoire familiale, nous disposons d'informations qui vont plus loin que cela, car chaque personne vivante a également une entrée dans l'arbre généalogique. Mon arbre en compte des centaines et 99 % d'entre eux n'ont pas de compte sur le serveur parce que leurs coordonnées ont été saisies par les historiens de la famille. La quantité d'informations varie, mais elle comprend généralement au minimum le nom complet, la date de naissance et les noms et dates de naissance des parents - exactement le genre d'informations qui pourraient être utilisées pour une usurpation d'identité, par exemple.
Il est vrai que le RGPD a été conçu principalement pour contrôler les excès des entreprises que nous avons vus récemment avec des violations massives conduisant à la fuite de millions d'enregistrements. Comme les entreprises étaient la cible principale, la plupart des documents disponibles se concentrent également sur elles. Cela donne la fausse impression que nous sommes exemptés. Le règlement est très clair : il n'y a qu'une seule exemption pour l'usage personnel, et elle est strictement limitée :
Le présent règlement ne s'applique pas au traitement de données à caractère personnel : ... (c) par une personne physique dans le cadre d'une activité purement personnelle ou domestique RGPD
Cela signifie que vous pouvez collecter des informations sur vous-même ou sur les membres de votre foyer, afin de pouvoir gérer votre vie quotidienne. Cela n'inclut pas la collecte d'informations sur votre famille élargie.
C'est pourquoi la généalogie est un cas particulier du RGPD. Les rédacteurs n'avaient pas les arbres généalogiques à l'esprit en tant que cas d'utilisation typique. Ils étaient motivés par les excès des entreprises qui abusent de nos données mais, comme c'est souvent le cas, la loi des conséquences involontaires a fait que nous avons été pris dans le filet.
Le 25 mai 2018, entre en vigueur, le règlement européen sur la protection des données personnelles. Voté par le parlement européen le 14 avril 2016, le règlement n°2016/679 s'applique d'autorité dans l'ensemble des 28 pays de l'Union européenne sans que chaque état n'ait à l'adopter. Les objectifs du règlement sont d'accroître la protection des personnes concernées par le traitement des données personnelles et de responsabiliser les acteurs de ce traitement.
Qu'est-ce que ça nous apporte en tant qu'individus ? Et en quoi devrait-il s'appliquer à nos petits sites amateurs ou associatifs ?
Que faut-il faire ? ce n'est pas encore bien clairement expliqué, mais il n'y a plus trop de temps maintenant.
Google, Microsoft et les autres, mettent à jour leurs conditions générales d'utilisation et en profitent pour nous extorquer des acceptations exprès et détaillées pour un paquet d'utilisations de nos données dont on ne soupçonnait même pas l'existence. Avec chaque fois, comme pour la mise à jour de Windows la semaine passée, un bel argumentaire plus marketing que juridique pour détailler tout ce qu'on loupe en refusant, le tout relevant parfois du chantage : tu acceptes expressément ou ton compte est supprimé. "Voulez-vous vraiment les refuser? Vous ne serez plus en mesure d'utiliser le site web et les applications pour tablettes ou mobiles d'Airbnb si vous refusez les conditions actualisées." Voilà pour le consentement libre et éclairé. Notons que fin avril-début mai, Google a supprimé son slogan de 18 ans "Don't be evil" (ne soyez pas maléfique) du code de conduite distribué aux employés. Tirez-en les conclusions que vous voulez.
Selon Le Hollandais Volant , "Ça y est : des dizaines de sites bloquent les utilisateurs européens car l'UE veut protéger nos données mais les sites refusent de se bouger pour nous."
C'est la première conséquence de la future applicabilité du règlement européen sur la protection des données personnelles : le bannissement des internautes Européens. Le même effet qu'une censure.
Il y en a même qui en font du business pour aider les sociétés à bannir les internautes européens. L'article qualifie d'infâme le RGPD.
Certaines entreprises se détourneraient déjà du marché européen. https://www.bleepingcomputer.com/news/security/new-service-blocks-eu-users-so-companies-can-save-thousands-on-gdpr-compliance/
Et pendant ce temps, le 23 mars dernier, le congrès américain a voté en procédure accélérée le Cloud Act qui renforce l'ingérence des autorités américaines sur les opérateurs de cloud américains et s'oppose donc frontalement au RGPD qui interdit dans son article 48 les transferts ou divulgations de données hors de l'UE. Le Cloud Act :
Rappelons l'article 25 du RGPD : imposer aux organisations la protection des données personnelles dès la conception des produits, services et systèmes et la sécurisation par défaut du système d’information, c'est là où les webmestres utilisateurs de CMS demandent des adaptations aux codeurs. Pour les CMS que j'utilise, ça carbure un peu et les webmestres utilisateurs européens sont plus exigeants que les autres, demandant un pack de conformité au RGPD prêt à installer. Mais les codeurs du monde du logiciel libre ne disposent pas de l'armada de juristes des acteurs commerciaux du secteur et tardent à fournir une solution complète.
Quelle solution, d'ailleurs ? Nous ne collectons pas grand chose : il y a bien la pose des cookies pour le bon fonctionnement, la collecte de quelques infos au moment de l'inscription membre ou info-lettre.
Sûr qu'en cas d'utilisation de services externes (partage, cartes, pub, stats de visites ...) ça pose aussi des cookies et ça collecte des données et dès le 25 mai, ce sera au webmestre de demander le consentement (pour les cookies et l'utilisation des données perso) aux visiteurs pour chacun des services externes présents sur le site. Ça va refroidir un peu ceux qui ont l'habitude de parsemer leur site d'icônes de partage social, de cartes Google, de pubs Adsense et même de vidéos YouTube.
Donc, j'ai bien cherché, lu et relu sur le RGPD, puis digéré les commentaires, y compris l'intégralité de ce qu'en dit la CNIL. Et la somme de tout cela, c'est RIEN. Du moins pour les sites web de particuliers.
De tout ce fatras de littérature sur le sujet, il transparaît que ce règlement européen ne s'applique qu'aux professionnels et aux grosses associations. Et comme la CNIL en France, telle ses équivalents dans les autres pays de l'UE, est dessaisie de toutes ses attributions, que les déclarations de sites web sont supprimées, il ne resterait comme obligation pour les sites web non professionnels que la gestion des cookies, pour se mettre en conformité avec la législation. Mais ça ne concerne pas le RGPD. Et encore, si ces cookies ne servent qu'à assurer le bon fonctionnement du service fourni par le site, il n'y a pas de consentement à obtenir, juste une information que des cookies sont installés sur l'appareil de l'internaute et qu'il peut les détruire comme indiqué dans le mode d'emploi de son navigateur. En matière de cookie, l'enregistrement d'un consentement ne concernerait que des sites qui utilisent les infos collectées à des fins de marketing ou de profilage.
Pour le site de généalogie, j'ai ajouté dans le footer que si une personne trouve son nom sur le site, elle peut demander à ce qu'il soit effacé par le formulaire de contact. Mais l'obligation existait bien avant le RGPD.
Selon le RGPD, le listage des logs fait l'objet d'une exception au consentement exprès, du moment que cette collecte est réalisée pour des raisons de sécurité et dans une optique d'identification en cas de pratiques illégales de certains internautes. Toutefois, il convient :
Sur le site de la CNIL, dont la seule fonction désormais semble être l'assistance à la mise en application du RGPD, il n'existe que 2 catégories de public :
Entre les deux, il n'y a personne. Les petit sites de particuliers ou d'association n'existent pas.
Le responsable des sites d'un ministère rejoint mon analyse quand je l'interroge sur les implications du RGPD sur notre site d'association :
"Tout ce que vous risqueriez, dans le pire des cas, c'est un rappel à l'ordre de la part de la CNIL, qui vous expliquerait alors où vous pêchez. Et encore, il faudrait au préalable qu'une plainte soit déposée par un membre du site."
Ce qui importe :
Mais comme nous le martèle Rick Falkvinge, militant des libertés numériques et fondateur du Parti Pirate suédois : La vie privée demeure de votre responsabilité. Depuis janvier, Framasoft traduit sur son blog les 21 billets de sa réflexion : 21 degrés de liberté. "Dans une série de 21 articles sur ce blog nous examinerons comment le droit à la vie privée, une liberté fondamentale, a complètement disparu quand on est passé à l’ère numérique. Sa dégradation n’est rien moins que catastrophique. Nous aborderons toute une série de domaines dans lesquels la vie privée a tout simplement disparu avec la transition vers le numérique, et où cela nous mène. Pour chacune de ces thématiques, nous examinerons la position des différentes juridictions et les tendances qui se dessinent. La motivation principale est claire — il n’est absolument pas déraisonnable de penser que nos enfants devraient avoir au moins les mêmes libertés fondamentales individuelles que celles dont jouissaient nos parents, et aujourd’hui ce n’est pas le cas. Pas du tout."
Voir là : https://framablog.org/2018/01/15/21-degres-de-liberte-01/
à lire aussi : Les textes officiels sur le site de la CNIL
Source(s) : Wikipedia, Le Hollandais Volant, BleepingComputer, Les Echos
Le Règlement général sur la protection des données (RGPD) est entré en application en mai dernier, et avec lui son lot de provisions supposées renforcer la protection des données à caractère personnel. Prétendue révolution, ce texte n’est en réalité que l’expression plus aboutie d’une vision philosophique ancienne, tendant à rapprocher donnée, vie privée et personne humaine et s’opposant à une vision plus mercantile de la donnée, adoptée outre-Atlantique.
Transformation de la notion de vie privée
En développant massivement les services numériques, nos sociétés ont profondément transformé la notion de vie privée : consciemment ou non, chaque individu partage des informations plus nombreuses et plus diverses le concernant, faisant d’éléments ordinairement privés, des données connues par d’autres individus, des entreprises ou des administrations.
Parmi ces données comptent, de manière très immédiate et par exemple, les données de localisation collectées notamment par les smartphones et les diverses applications qui y sont installées, les données biométriques collectées à la demande d’édition d’un passeport ou encore les préférences alimentaires via les cartes de fidélité utilisées par les grands acteurs de la distribution.
En outre, la modification de la notion de vie privée est d’autant plus grande lorsque l’entité collectant initialement des informations sur un utilisateur, les recoupe, déduisant ainsi de nouvelles données, notamment par l’utilisation d’algorithmes.
Dans les deux cas, en face des possibilités offertes par la technologie, existent des risques pour les personnes concernées en cas de fuite de données comme le prouvent les nombreux scandales passés (Target, Ashley Madison, etc.) ou lors de la prise de décisions basées sur des données erronées. Dès lors, il appartient à chaque société, notamment par le droit, de contrôler les opérations portant sur des données à caractère personnel.
De la sacralité de la personne humaine à celle de la donnée
De l’anthropocentrisme aristotélicien à l’idée kantienne de respect de la personne, les philosophes européens ont longtemps considéré que toute chose de nature ontologique méritait une protection des plus absolues. Cette approche fondamentaliste, embrassant les droits de l’Homme, se retrouve par exemple en droit français dans le concept d’indisponibilité du corps humain, lui-même à l’origine de l’interdiction de vente d’organes, ou de la pratique des mères porteuses.
Le philosophe italien Luciano Floridi (Information : a very short introduction, 2010) crée à ce titre un parallèle éloquent entre la donnée et le corps humain en expliquant que la « quatrième révolution » (celle de l’informatique, en référence à Alan Turing) et la circulation accrue de données qui y est associée ont transformé la vie humaine à tel point que la donnée devrait être vue comme une extension de la personne humaine.
Ainsi, la marque de possession de la donnée à caractère personnel (« mes données ») se rapprocherait davantage du lien entre l’individu et son corps (« mon bras ») que de la marque de possession d’un objet (« ma voiture »).
En Allemagne, un droit à l’autodétermination informationnelle
En considérant la donnée comme une véritable émanation de la personne, celle-ci devient digne d’une protection très élevée. La volonté de protéger les données à caractère personnel est ainsi bien antérieure au RGPD en Europe, les premières législations relatives aux données à caractère personnel datant de 1970 (Land de Hesse, Allemagne), 1976 (Suède) et 1978 (France).
En Allemagne, la protection des données à caractère personnel revêt, en outre, un caractère constitutionnel depuis qu’en 1983 la Cour constitutionnelle a déduit de la Constitution fédérale un principe de droit à l’autodétermination informationnelle.
Ce principe dépasse la conception minimaliste de la vie privée (« le droit d’être laissé tranquille ») pour correspondre davantage à une protection large de la sphère privée et à la capacité de l’individu à participer de manière indépendante à la vie politique et sociale, comme l’expliquent Gerrit Hornung et Christoph Schnabel (« Computer law and security report », 2009).
Un renforcement progressif au sein de l’UE
L’Union européenne est également intervenue sur le sujet de la protection des données à caractère personnel avant le RGPD par l’adoption de la Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995), créant un cadre général relatif à la protection des données à caractère personnel ainsi que par l’inclusion, dans la Charte des droits fondamentaux de l’Union européenne, d’un article 8 relatif à la protection des données à caractère personnel.
Sans constituer une révolution, le RGPD vient toutefois renforcer sensiblement la protection des données à caractère personnel, en ligne avec l’idéologie fondamentaliste présente en Europe.
À titre d’exemple, le Règlement a une portée plus large territorialement puisqu’il s’applique à des contrôleurs de données situés en dehors de l’Union européenne. Substantiellement également, il accorde davantage de droits aux personnes concernées et prévoit notamment des sanctions plus fortes en cas de non-respect.
Aux États-Unis : laissez-faire, laissez-passer
À l’opposé de la vision sacrée de la vie privée et de la considération quasi corporelle de la donnée, existe une vision plus matérielle de cette dernière, dérivée d’une vision plus mercantile de la vie privée.
Dans An economic theory of privacy (1978), Richard Posner dépeint la notion de privacy comme nocive pour le marché en ce qu’elle prive d’informations les agents dans leurs prises de décisions. Dès lors, il m’apparaîtrait pas justifié d’accorder une protection particulièrement élevée aux données mais plutôt d’en autoriser la libre aliénabilité, notamment en créant un droit de propriété de l’individu sur ses données comme le défendait récemment le think tank Génération libre.
La structure américaine s’inspire de cette logique mercantile et est ainsi moins contraignante pour les entreprises désireuses de collecter et traiter des données à caractère personnel. Elle s’oppose au choix européen d’un régime protecteur de l’individu, destiné à sécuriser sa confiance en l’économie numérique.
Au contraire d’une intervention publique forte comme l’est le RGPD, les premières initiatives de régulation aux États-Unis sont l’œuvre des acteurs privés ayant produit des codes de bonne conduite (voir notamment les guidelines de la Direct Marketing Association).
La liberté laissée aux grands acteurs du secteur symbolise parfaitement l’approche libérale choisie par le législateur américain, suivant la doctrine libérale du « laissez-faire, laissez passer » élaborée par Vincent de Gournay au XVIIIe siècle. Cette expression, symbole de la confiance en la capacité autorégulatrice du marché, explique alors la structure parcellaire du droit américain de la protection des données à caractère personnel.
Ce seul exemple de la structure du droit suffit à mettre en lumière les différences juridiques résultant des différences philosophiques dont font l’objet États-Unis et Union européenne. En effet, aucun texte général relatif à la protection des données à caractère personnel n’existe aux États-Unis et le législateur n’est intervenu que sporadiquement sur des points particulièrement sensibles (la protection des jeunes enfants avec le Children Online Privacy Protection Act, 1998) ou pour certains secteurs comme les télécommunications (1996) et la finance (1970, 1999).
Des désaccords insurmontables ?
En somme, l’analyse philosophique et juridique comparée de la vie privée et de la protection des données à caractère personnel met en évidence d’importantes divergences entre États-Unis et Union européenne.
La multiplication des flux de données et les problématiques résolument transfrontières qu’ils engendrent pourraient pourtant inciter à la création de cadres plus larges. De telles améliorations permettraient notamment de faciliter la mise en conformité des différents contrôleurs de données et de sécuriser plus aisément la confiance des utilisateurs de services internationaux.
Quoi qu’une telle issue collaborative puisse séduire dans l’absolu, l’expérience passée n’incite pas à l’optimisme ainsi que le suggèrent les échecs passés dans les négociations internationales trop anciennes et limitées ou dans les négociations bilatérales remises en cause (invalidation du Safe Harbor) ou vivement critiquées (contestation du Privacy Shield).
La version originale de cet article a été publiée sur The Conversation.
Juridique : Le bureau d’enregistrement a annoncé que les données personnelles contenues dans son registre WHOIS seraient dorénavant privées par défaut, en conformité avec le RGPD. Une tendance de plus en plus suivie parmi les bureaux d’enregistrement européens, malgré les efforts de l’Icann pour inverser la tendance.
Louis Adam
Par Louis Adam | Mercredi 11 Juillet 2018
Suivre @zdnetfr
Dans un communiqué publié hier, le bureau d’enregistrement de nom de domaine Gandi a annoncé un changement sur la façon dont sont gérées les données accessibles via le service WHOIS, qui permet de se renseigner sur le propriétaire d’un nom de domaine. Les données personnelles mises à disposition au travers du service ne seront dorénavant plus consultables publiquement par défaut : il faudra que le titulaire du nom de domaine change un paramètre pour rendre les données en question accessible à tous.
C’est un changement qui pourrait paraître anodin au premier abord : le RGPD, entré en vigueur au mois de mai 2018, renforce en effet la protection des données personnelles des citoyens européens. Le service WHOIS, dont les données sont à l’origine publiques par défaut, exposait ainsi plusieurs noms, numéros et adresse email d’internautes qui étaient alors accessibles à n’importe qui, sauf si l’utilisateur acceptait de payer pour un service protégeant l’accès à ces données.
A lire, notre dossier : RGPD : tout pour être prêt<<<
Avec le RGPD, les bureaux d’enregistrement européens préfèrent donc inverser la tendance et proposer des données protégées par défaut, assortis d’une option pour les rendre éventuellement accessibles au public.
Gandi n’est pas le seul à avoir sauté le pas : OVH a ainsi récemment annoncé avoir mis en place une politique similaire de son côté. Mais l’Icann, la société chargée de veiller et d’organiser l’attribution des noms de domaines sur le réseau, voit cette évolution d’un très mauvais œil.
Une polémique qui traine en longueur
L’Icann est en effet vent debout face à ces initiatives et n’est pas seule dans son combat : aux États Unis, nombre de chercheurs en sécurité se sont élevés contre cet effet du RGPD, qui vient limiter leur accès aux données contenues dans le registre WHOIS. Pour les autorités américaines, la crainte d’un service WHOIS « fragmenté » est réelle : ces données étaient en effet fréquemment utilisées dans le cadre d’enquête et la question de savoir qui aura accès aux informations contenues dans les registres anonymisés reste encore à débattre.
L’Icann avait d’ailleurs intenté une action en justice à l’égard d’un registrar allemand qui avait choisi d’arrêter de collecter les données administratives et personnelles de ses clients afin de se mettre en conformité avec l’article 5 du RGPD, qui encadre le traitement des données personnelles. Le recours déposé par l’Icann devant les tribunaux allemands s’est néanmoins heurté à un mur.
La cour régionale de Bronn a ainsi débouté l’Icann de son action, en jugeant que l’entreprise américaine n’avait pas su présenter des arguments convaincants pour plaider sa cause, comme le rapporte The National Law Review. L’Icann a fait appel de cette décision.
25 mai 2018 - Avant-hier, Emmanuel Macron recevait son homologue Mark Zuckerberg, symbole défait d'un monde dont le glas a sonné ce matin. Sous les traits forcés du dynamisme et de l'innovation, Macron, ne comprenant rien à son époque, fait la cour à des puissances dont le modèle, aussi dépassé qu'illégal, prendra bientôt fin. Les seules structures qui compteront à l'avenir seront les nôtres : celles de l'Internet libre et décentralisé, établies et régulées par le peuple lui-même. C'est la voie qu'a ouvert le RGPD : prenons-la sans détour.
Une réforme essentielle de protection des données personnelles entre en vigueur demain. Nous sommes tous inquiets. Mais faisons-nous le nécessaire?
Vos données personnelles sont pillées sur Internet. La donne va-t-elle changer dès ce vendredi en Europe? Ce 25 mai, entre en vigueur le Règlement général de protection des données personnelles (RGPD) qu’il vous faudra valider, un par un, service après service.
Pour filer la métaphore, le New York Magazine a trouvé la bonne formule: c’est comme une colonie de termites habitant depuis longtemps dans votre maison et qu’on obligerait à se présenter à vous, un à un, et à vous demander poliment la permission de rester...
Pourquoi cela reste obscur
Depuis plusieurs jours, vous recevez mails ou alertes vous demandant de valider le RGPD. Cela vous concerne de près, beaucoup plus intimement que vous ne l’imaginez.
Facebook, WhatsApp, Airbnb, associations, collectivités, banque: dès vendredi, aucun de ces acteurs, jusqu’au plus petit, ne pourra traiter vos données personnelles sans votre consentement "clair et explicite". Voilà pour le texte. Dans les faits, c’est plus obscur.
"C’est normal", décrypte Hervé Michelland, expert en sécurité informatique (1). La stratégie de la plupart des entreprises dont le business est de commercialiser votre vie privée, c’est de tout faire pour opacifier les choses." Circulez, y’a rien à voir.
Un business lucratif
La collecte de nos données personnelles est un business mondial extrêmement lucratif, notamment chez les Gafa (Google, Apple, Facebook, Amazon).
Selon la Commission européenne, la valeur de l’économie de la donnée pourrait passer à 739 milliards d’euros en 2020 (285 milliards d’euros en 2015.
"En naviguant sur Internet, en utilisant des services sur nos smartphones, on se trouve dans un eco système dont le but est de collecter des masses d’informations à caractère personnel, comme un mineur (ou un termite donc, ndlr) et de les monétiser. Dites-vous bien que quand un service est gratuit sur Internet, c’est que le produit c’est vous."
Faut-il donc se plonger dans la validation du RGPD que chaque service nous envoie en ce moment?
"C’est comme se poser la question d’acheter un appartement et de se demander si on doit s’intéresser à la vie du quartier. Évidemment, oui", conseille Hervé Michelland. Il s’agit de notre vie privée!"
Que risquent associations, entreprises, etc.?
"Si elles exploitant vos données sans consentement, la sanction est colossale, jusqu’à 4% du chiffre d’affaires mondial. Et cela concerne non seulement les entreprises, associations, etc., mais aussi leurs sous-traitants.
"Et ce sera à l’entreprise d’origine de vérifier que ses sous-traitants appliquent bien les règles, sans cela les deux seront condamnées », explique Hervé Michelland.
Faut-il se méfier de tout?
A des degrés divers, nous sommes tous un peu perdus dans cette jungle. L’expert rappelle deux points importants. "D’un, sur Internet la notion de confidentialité n’existe pas. Deux, Internet n’oublie jamais rien. Quand vous avez ceci à l’esprit, et que vous l’utilisez avec prudence, il ne peut rien vous arriver de désagréable."
En matière de droit à l’oubli, le RGPD apporte des progrès. "Google vient de mettre à disposition un formulaire (2) où l’on peut consulter toutes les infos accumulées sur nous, et offre la possibilité de les purger."
Sur Internet, on sait tout de vous ; noms de vos enfants ou petits-enfants (avec leurs photos), capacité d’emprunt, numéro de sécu, données bancaires, adresse, plats préférés, magasins de prédilection, déplacements, etc.
Alors, laisserez-vous les termites continuer à piller votre vie privée?
Var-Matin 24 mai 2018
A new European law goes into effect on May 25, 2018, that will require changes for almost everyone who publishes information online. In my opinion, this is a very good law. However, if you write a genealogy blog or collect email addresses for those who read your genealogy data online, you need to be aware of the changes that might be required of your web site.
Even though the General Data Protection Regulation (GDPR) is a European law, it affects almost everyone who publishes information online. Just because you live in North America or in Asia doesn’t mean you can ignore this new law. The law covers privacy requirements, and we all live in a digital world where data privacy is of the utmost importance. If you have one or more readers in Europe, you need to comply with the new law. In fact, I would suggest everyone should follow the new guidelines simply as a matter of common sense, regardless of where your readers reside. Compliance should be easy.
The General Data Protection Regulation, otherwise referred to as GDPR, is new legislation that strives to put the control back in the hands of European Union citizens when it comes to their personal information. Since it will require changes to web sites worldwide, the result will be better privacy for all of us, regardless of where we live.
Once the new law goes into effect, an individual can retrieve details on what personal information is being held about him or her, who is using it, how they’re using it, and how it’s being stored. Additionally, information is to be provided on how individuals can request copies of this data, and even more, they can request to be completely deleted from the web site’s database (which goes beyond the simple “Unsubscribe” button).
Will this affect you? The answer is “Yes” if your answer is affirmative for any of these questions:
Do you have a newsletter list with at least one person in the European Union?
Have you posted at least one Facebook ad to advertise your blog or other information you publish online?
Are you maintaining a mailing list to be used on social media?
Do you use PayPal or Square or any other type of eCommerce platform to accept credit card payments your readers or customers?
If you answered “Yes” to any of the above questions, you must comply with the new law. That is true with you make money with your web site or not, even nonprofits must comply with the new law. Luckily for you, compliance is easy.
The primary thing to remember is that individuals in the European Union must explicitly opt-in to communications from you. You cannot add anyone in the European Union to your mailing list without that person’s stated permission. You cannot just add someone to your email list because they asked you a question; they must have given explicit permission to be added to the mailing list.
Likewise, when anyone in the European Union asks to be deleted from your mailing list, you must delete that person’s information immediately. That is referred to as “opt-out” of the mailing list. There are to be no exceptions.
With GDPR, you must be able to provide an audit trail of how and when each person opted-in, should you ever be asked to provide substantiation.
Most mailing list software, such as MailChimp or Mailer Lite or FeedBlitz (which is used by the eogn.com web site), already complies with the new GDPR law. The bigger risk is for someone who MANUALLY maintains a mailing list and is unaware of the new law’s requirements. Fines for noncompliance could cost $20 million Euros. And… yes, the European courts have legal methods of collecting those fines from North American violators of the new law.
Purchasing a mailing list online and sending unsolicited emails to the list has always been a poor business practice, but now it will become illegal. Of course, sending spam mail will become illegal, but I suspect the new law won’t impact spam mail very much. Those who send spam mail have always ignored most other laws, and I suspect they will ignore the new law as well.
If you have questions about the General Data Protection Regulation, you should consult your legal counsel for additional information. You can also read more at the new law’s support page at https://www.eugdpr.org/ as well as on hundreds of web sites by starting at https://duckduckgo.com/?q=%22https%3A%2F%2Fwww.eugdpr.org%2F%22&t=hg&ia=web.
Pour l’heure, en France, la loi protège l'intimité génétique de chacun. Mais la Suisse est sur le point de craquer. Et demain, les assurances trieront-elles leurs clients en fonction de leurs gènes? 3 mars 2018
Êtes-vous le seul propriétaire de vos gènes? Qui d’autre que vous peut avoir accès au prodigieux coffre-fort informatif que constitue votre patrimoine génétique? Durant des millénaires ces questions ne se posèrent pas: personne ne disposait de la clef. Et les assurances privées n’avaient pas été inventées. Vint la découverte de l’ADN. C’était dans la seconde partie du siècle dernier. Puis tout s’emballa dans l’ivresse d’une quête scientifique et médicale aux parfums d’eldorado.
Les assureurs sont très intéressés par nos données
Inaccessible, le coffre-fort génétique devint visible. Puis de plus en plus accessible. Se substituant aux cartomanciens, les généticiens annonçaient des miracles prédictifs. L’esprit de conquête, de lucre et la publicité suivirent: vous pouvez aujourd’hui (un prélèvement de salive, quelques cheveux ou une goutte de sang suffisent) connaître quelques aperçus d’une vérité personnelle, génétique et généalogique. Il vous suffit pour cela de contacter 23andme (c’est l’exemple le plus célèbre) ou l’une des entreprises similaires –comme la belge DNAVision du transhumaniste français Laurent Alexandre.
Dans ce nouveau contexte, quid de la préservation de l’intimité biologique héréditaire? Rempart contre cette irrésistible dynamique planétaire au service de la transparence génétique: la France, ses valeurs et son corpus législatif de bioéthique. Officiellement, tout y est verrouillé depuis les premières lois de 1994 transposées dans l’article 16-10 du code civil:
«L'examen des caractéristiques génétiques d'une personne ne peut être entrepris qu'à des fins médicales ou de recherche scientifique. Le consentement exprès de la personne doit être recueilli par écrit préalablement à la réalisation de l'examen, après qu'elle a été dûment informée de sa nature et de sa finalité. Le consentement mentionne la finalité de l'examen.»
Or la situation évolue aujourd’hui à très grande vitesse, outre-Atlantique mais aussi en Suisse:
«Notre gouvernement vient de soumettre au Parlement un projet de loi sur l’analyse génétique humaine. C’est un modèle du genre, ce texte prend en compte la subtilité des enjeux en une dentelle juridique destinée à protéger les citoyens de tout abus et à leur garantir la maîtrise de leur génome, explique à Slate.fr le Dr Bertrand Kiefer, rédacteur en chef de la Revue Médicale Suisse. Cette loi fait comme si notre pays était un monde étanche, fermé sur lui-même. La réalité, celle du marché mondial du séquençage et de la loi de la jungle qui y règne, n’est qu’à peine évoquée. Mais il n’y a pas que cela.»
Il poursuit:
« La politique suisse a aussi, comme celle des autres pays, ses forces qui sont loin d’avoir la défense de la personnalité de chacun comme objectif. Ainsi, sous pression du lobby des assureurs, une commission du Parlement chargée d’une première lecture de ce projet de loi lui a infligé un sérieux coup de canif. Elle a demandé que les assurances sur la vie –ou celles couvrant l’invalidité– puissent exiger, à partir d’un certain montant de couverture, d’avoir accès à toutes les analyses génétiques déjà effectuées par la personne. Que ce soit dans un cadre médical ou de manière libre, sur internet par exemple.
Si le Parlement accepte ce que lui propose sa commission, les citoyens suisses feront bien d’éviter toute analyse génétique, y compris sur internet (les clauses de confidentialité n’empêchent pas toujours de vendre la liste des clients). Ils feraient bien aussi de refuser de participer à toute bio-banque et aux recherches susceptibles de séquencer leur génome. Sans indication médicale vraiment impérative, le mieux pour eux serait de rester dans le vieux monde de l’ignorance génétique. Car il est dans l’ordre des choses que si le Parlement ouvre cette brèche, quantité d’autres lobbies voudront aussi accéder à l’intimité génétique de chacun.»
En France
Qu’en est-il en France? Ce questionnement s’inscrit dans le cadre général de la connaissance par les assureurs des «données de santé», données dites «sensibles» et qui, à compter du 25 mai prochain, feront l’objet du «Règlement général sur la protection des données» (RGPD). Pour l’heure ces données sont clairement protégées par un ensemble de dispositions incluant le secret médical et le respect d’un code de bonne conduite. Si l’on excepte les contrats d’assurance complémentaire santé (collectifs ou individuels) qui interdisent la prise en compte de ces données et les indemnisations de dommages corporels, ce sont les contrats d’assurance en cas de décès et ceux inhérents à des emprunts bancaires importants (pour projets immobiliers notamment) qui sont ici concernés.
«Dans certains cas, la déclaration sur l’honneur peut être suffisante, précise-t-on à Slate.fr auprès de la Fédération Française de l’Assurance (FFA). Dans d’autres situations, en fonction des montants, une visite médicale peut être demandée ainsi que des investigations complémentaires. Mais dans tous les cas le cadre général de la protection des données est impérativement respecté.»
On peut y ajouter les récentes «dispositions relatives au “droit à l’oubli”», dont peuvent désormais théoriquement bénéficier les malades guéris de pathologies qui, hier, leur interdisaient l’accès aux assurances.
Cette situation apparaît d’autant plus solide que l’interdiction qui est faite aux assureurs français d’avoir recours aux tests génétiques est inscrite à la fois dans le code de la santé publique, dans le code des assurances et dans le code pénal (sanctions prévues: jusqu’à 225.000 euros d’amende).
«Tous les traitements de données de santé sont fortement encadrés, outre le respect de la loi informatique et libertés du 6 janvier 1978 et du pack de conformité assurance de la CNIL, tous les traitements de données de santé sont couverts par le secret professionnel, ce qui implique l’intervention d’un médecin conseil ou d’un membre du personnel spécifique, souligne-t-on auprès de la FFA. Et l’entrée en application du RGPD ne modifiera pas le fondement légal de ces traitements.»
«Vous cibler pour vous vendre tel ou tel produit, ou éventuellement vous refuser telle ou telle assurance»
Il est difficile d’imaginer que cette situation restera très longtemps figée. Les puissants opérateurs français de l’assurance (et ceux, internationaux, de la réassurance) ne cachent nullement leur intérêt pour l’évolution du cadre et des pratiques dans le monde anglo-saxon.
«Pour notre part, si nous devions exprimer un regret, ce serait celui de ne pas pouvoir avoir accès aux données publiques françaises anonymisées dont dispose notamment aujourd’hui l’Assurance Maladie», nous explique-t-on auprès de la FFA. Une Assurance Maladie qui vient d’ailleurs d’être mise en demeure par la Commission nationale de l’informatique et des libertés (CNIL) d’améliorer sous trois mois son système de protection informatique des milliards de données personnelles de santé qu’elle détient.
Aucune volonté chez les assureurs français de violer les libertés individuelles et le secret médical. Mais bien le souci assurantiel consubstantiel d’ajuster au mieux leurs calculs pour des prises maximales de profit fondées sur une connaissance approfondie du risque.
De ce point de vue les assureurs français sont dans une situation paradoxale, corsetés dans leur impossibilité d’avoir une connaissance des risques prédictif –et ce alors que ces mêmes risques sont de plus en plus fréquemment et planétairement affichés par les premiers concernés (voir «Nebula Genomics» ou «Patientslikeme»). Cette dynamique est d’autant plus rapide que les prix des tests génétiques ne cessent de s’effondrer et que chacun peut y avoir accès (y compris en France où ils sont officiellement interdits).
«Il faut ici faire la part entre les simples “analyses génétiques” désormais facturées une centaine d’euros et les “séquençage complet” de l’ADN, de l’ordre du millier d’euros, auxquels il faut ajouter le coût des interprétations, nous explique le généticien moléculaire Bertrand Jordan. Outre-Atlantique les premiers succès ont été assurés à 23andMe par l’engouement massif pour la quête génétique généalogique de ses origines –et ce alors que la solidité des informations à prétention médicale pouvait aisément être mises en doute. Puis vinrent les contrats entre ces firmes et celles des entreprises pharmaceutiques.»
Au final, selon Bertrand Jordan, «23andMe» aura réussi à accumuler un ensemble de données génétiques et cliniques auxquelles l’industrie pharmaceutique accorde aujourd’hui une grande valeur –tout en faisant financer cette collecte par les patients eux-mêmes.
«Profils génétiques, informations médicales, et bientôt séquence d’ADN (obtenue dans le cadre des contrats passés avec Genentech, Pfizer ou d’autres), tout cela intéresse beaucoup de monde, assurances, marketing pharmaceutique, qui peuvent, au vu de ces informations, vous cibler pour vous vendre tel ou tel produit, ou éventuellement pour vous refuser telle ou telle assurance, écrivait déjà Bertrand Jordan dans la revue Médecine/Sciences en 2015.
Les garanties que donne l’entreprise ne peuvent être totalement rassurantes: on a vu avec Google et Facebook comment ces promesses pouvaient se diluer au fil du temps, ou même être carrément oubliées, et on sait aussi qu’une séquence d’ADN “anonyme” peut assez facilement être rattachée à une personne précise. Notre “intimité génétique’” est en danger (…), le problème est général, mais particulièrement aigu pour ce qui concerne notre santé et notre génome. Oui, décidément, nous risquons bien d’assister à la fin de la vie privée, ou tout au moins d’une certaine idée de l’intimité.»
Trois ans plus tard, la menace ne cesse de croître. Et le citoyen français informé des menaces et des enjeux, ne peut que regretter que le sujet soit étrangement absent de l’agenda de ses États généraux de la bioéthique –une entreprise pourtant démocratique qui nous interroge officiellement sur «le monde que nous voulons pour demain».
À dire vrai, depuis un siècle ou presque, assureurs ou pas, l’alternative finale ne change guère: Aldous Huxley ou George Orwell.
0 - La question à vous poser pour tout traitement
Pour toutes les données que vous souhaitez collecter et/ou que vous conserver la question principale à vous poser c'est : "Est-ce pertinent de conserver cette information et pourquoi la collectez-vous ?", si la réponse et non supprimez là ou ne la collectez pas. On reviendra plus loin dans l'article sur cette question à se poser et vous verrez que ça aide à clarifier certain point très particuliers.
1 - Consentement à demander
Comme c'est déjà le cas pour les cookies, vous devez demander le consentement de manière explicite à l'internaute pour la collecte/traitement de données personnelles telles que l'adresse IP, prénom, nom, etc. C'est valable pour tous les services : Google Analytics/Adsense/Adwords, Facebook, Twitter, AddThis, etc.
Vous avez le droit de demander le consentement soit de manière globale, pour tous les services avec une page explicative de tous les services, soit de le faire un service à la fois. Vous pouvez aussi grouper cookies et collecte de données, mais attention vous risquez de nuire à la lisibilité de l'information et une information floue est souvent cause de rejet par l'internaute. Attention toutefois à demander un consentement en bloc vous risquez de voir un refus de l'internaute juste pour un traqueur de moindre importance pour votre site, par exemple, le pixel Facebook, mais il est vrai que c'est tout de même plus simple pour l'internaute de devoir valider une seule fois.
Consentement explicite : vous n'avez pas le droit de mettre des messages du genre : "Si, vous continuez à naviguer sur notre site, vous acceptez etc." où la plupart du temps si vous ne cliquez pas sur "OK" et que vous consultez une autre page du site les cookies se mettent en place automatiquement. Vous devez donc avoir un bouton "Autoriser" et "Refuser", les termes devant être compréhensibles par un enfant, vous n'aurez pas le droit de faire des tournures très compliquées pour embrouiller l'internaute et le faire cliquer sur OUI.
Il y a toutefois des exceptions aux demandes d'acceptation de cookie, tout cookie servant au bon fonctionnement de l'application ne doivent pas être nécessairement stipulés dans les mentions légales et ne fait pas l'objet de consentement préalable à l'internaute. Cela aussi ne change pas par rapport à la précédente réglementation déjà en vigueur.
2 - Logs de serveur : un cas particulier
On est tous d'accord que dans les logs serveur d'Apache, Nginx ou IIS il y a des données personnelles tel que l'adresse IP de la personne et dans d'autres logs l'adresse e-mail de l'internaute (mail.info par exemple). Ma question à la CNIL a été de savoir si je devais demander là aussi un consentement préalable à la collecte de ces données, ce qui entre nous serait une tâche complexe à mettre en œuvre.
Du coup la réponse a été : "Pourquoi l'a collectez-vous et dans quel but ?" (mon fameux point 0), pour ma part ce n'est jamais dans des cas statistiques, c'est généralement pour faire de la recherche incident notamment en cas d'attaques ou de tentatives d'attaques informatiques. C'est important si vous utilisez un SIEM.
La durée de conservation maximale des logs ? 1 an après les données doivent être détruites (code des télécommunications), car on le voit souvent le délai de détection des APT est généralement de 3 à 6 mois, il paraît donc inutile de les conserver plus d'une année.
Doit-on demander le consentement à l'internaute ? Étant donné la finalité du traitement et la durée, vous n'êtes pas obligé de demander le consentement, mais comme vous y oblige déjà la loi informatique et libertés, vous devez en faire mention dans vos mentions légales. Ces données échappent à la CNIL sauf, si vous l'utilisez à des fin statistiques, il faudra donc en demander le consentement.
3 - Preuve du consentement
Le RGPD demande aussi que tout responsable de traitement puisse apporter la preuve du consentement de la personne qui aurait accepté un traitement, ce n'est pas nouveau c'est déjà le cas dans le droit commun. Sur ce point, je n'ai eu pour réponse uniquement : "La formalisation de la preuve de consentement pour être recevable n'a pas encore été transposée en droit Français", ce n'est en effet pas nécessaire de l'être, car c'est un règlement.
Grosso modo vous devez conserver la preuve du mieux que vous pouvez, car il y a peu de chances que nous ayons plus d'informations à ce sujet. Pour le moment, aucun texte de loi de figure à l'agenda du Parlement. Vous noterez aussi que la loi CNIL a déjà été modifiée pour se conformer au RGPD.
Il faudra notamment apporter un éclaircissement sur la preuve de consentement par les parents pour un mineur, car via un simple clic "Moi parent autorise..." ça me paraît léger.
4 - Durée du consentement
Une fois le consentement donné il n'y a pas de limite de validité, il est valable tant que l'utilisateur ne change pas d'avis. Cela concerne la collecte et le traitement des données, mais le consentement pour les cookies lui à toujours une durée maximale de 13 mois...
Attention toutefois, si vous ajoutez un nouveau service à votre site Internet, par exemple AddThis, vous devrez demander le consentement pour ce service. Si vous faites des consentements par bloc, le risque est de voir un utilisateur qui avait consenti à les refuser suite à cet ajout.
Cela va vous obliger à bien réfléchir la mise en place de nouveaux services pour vos internautes.
5 - Les formulaires
C'est aussi un cas un peu particulier, car l'internaute les remplis de son plein gré et de ça propre volonté. Cependant, vous devez tout de même pour chaque formulaire indiqué la durée de conservation des données et leurs finalités. N'oubliez pas de mentionner si vous conservez l'adresse IP, car on ne lui demande pas de manière explicite à la saisie dudit formulaire.
Pour un formulaire de demande de contact, comme me l'a dit la CNIL, si vous avez répondu à la demande, vous pouvez le supprimer directement la conservation n'étant plus pertinente le plus souvent. Bien entendu si vous souhaitez le conserver en tant que prospects dans vos bases vous en avez le droit tout en respectant la loi CNIL et le RGPD. C'est d'ailleurs souvent le cas sur les sites WordPress avec Flamingo et Contact Form 7 qui sauvegarde automatiquement les messages. Il faut juste indiquer dans vos mentions légales combien de temps seront conservées les données, honnêtement 6 mois seront largement suffisants, avec toujours un maximum d'une année.
Si l'échange doit avoir une valeur de preuve pas besoin de traitement particulier par contre comme me l'a fait remarquer Pierre Desmarais c'est surtout une question de : "degré de force probante".
Ne gardez pas les formulaires plus d'un an, le consentement lui est sans limite de validité. Au final, reprenez la question au point 0 et vous saurez si ces informations issues d'un formulaire doivent être conservées.
Vous n'êtes pas obligé d'afficher les informations au niveau du formulaire, mais un lien vers les mentions légales sur la section traitant du formulaire et une preuve de transparence en facilitant l'accès aux explications. Vous n'êtes pas obligé de faire une section par formulaire, sauf si l'un ou l'autre donne lieu à une autre finalité du traitement et/ou de sa durée.
Typiquement pour les newsletters la durée de conservation sera jusqu'à la demande de suppression de l'internaute ou si vous jugez qu'il n'est plus pertinent de lui envoyer des e-mailings, car il ne les ouvre jamais.
6 - Mise en place technique
Le plus gros chantier, vous devez l'avoir déjà fait en théorie, en effet la plus grosse difficulté pour la mise en place sur votre site Internet du consentement de l'internaute est à 90% près celui qui doit être en place pour l'acceptation des cookies.
Sur un site réalisé avec WordPress, je vous le concède, ça devient vite compliqué, il vous faudra faire le deuil de la majorité de vos plugins favoris tant qu'ils n'ont pas eu de mise à jour pour être conforme. Et d'ailleurs ne rêvez pas car il devrait déjà l'être pour les cookies, notamment AddThis, Yoast pour ne parler que de ces deux-là.
Il faut aussi voir que la simple utilisation de fonctionnalités natives de WordPress deviennent compliquées, notamment l'insertion d'une Twitter Card, il devient dorénavant impossible d'utiliser l'ajout natif de WordPress, vous devrez utiliser une autre solution... Ce sera de même pour l'insertion de vidéo Youtube, de player calameo et de carte Google Maps... En effet, ces insertions natives insèrent directement le code des services en question et il y aura collecte des données et de cookie sans consentement préalable.
Pour vous simplifier la vie vous pouvez notamment utiliser des gestionnaires de tag tel que Tarteaucitron (open-source) qui vous permettra de gérer plus de 50 services. C'est d'ailleurs ce dernier qu'utilise la CNIL pour gérer consentement et cookie sur son site Internet.
7 - Les sites de vos clients ?
Vous êtes une agence de communication et vous avez réalisé de très nombreux sites et vous commencez à vous dire : "La charge de travail pour mettre nos clients en conformité va être énorme". Vous avez raison, mais vous avez l'obligation de l'en informer, car c'est lui qui est gestionnaire de son site donc responsable du traitement des données.
Attention toutefois si vous n'avez pas livré un site conforme à la législation sur les Cookies, vous êtes en tort, car vous n'avez pas averti votre client et n'avez pas fourni une solution conforme.
Pour rappel seul le gestionnaire du site Internet est responsable de sa déclaration à la CNIL ou non. Avec le RGPD vous serez aussi responsable en tant que sous-traitant, bonne nouvelle les déclarations à la CNIL elles disparaissent en mai 2018 avec l'application du RGPD.
Remerciements :
Je tiens à remercier la CNIL pour le temps accordé, sachez d'ailleurs qu'ils sont à votre disposition pour toutes questions liées à leurs domaines et c'est vraiment appréciable.
Un très grand merci à Pierre Desmarais (@DesmaraisPierre) pour sa relecture et ses commentaires sur l'article, sans lui je l'avoue, il n'aurait pas été aussi précis et aurait laissé passer une ânerie ou deux.
Cet article n'engage bien sûr pas ces personnes, mais je tenais à les remercier.
Conclusion
Étant donné l'état actuel de la formalisation du RGPD en droit Français tout n'est pas clairement défini ni applicable en l'état. Par contre, ce que vous devez faire dès a présent c'est suivre les 6 étapes proposées par la CNIL (cf : Se préparer en 6 étapes), notamment la cartographie et les actions à mener.
D'un point de vue personnel, je comprends le but de ces réglementations et je trouve que c'est une bonne chose que de donner le droit aux usagers de pouvoir simplement se protéger. Par contre, que ce soit à nous gestionnaire du site Internet de demander l'accord pour les services externes je dois bien avouer que je trouve ça limite. Car au final c'est surtout le service externe qui va tirer le plus grand bénéfice de ces données de tracking.