PROJET AUTOBLOG


Pixellibre.net

Site original : Pixellibre.net
⇐ retour index

Mise à jour

Mise à jour de la base de données, veuillez patienter...

Le difficile (et long) exercice des droits sous le RGPD

jeudi 25 octobre 2018 à 11:01

L’arrivée du RGPD, le 25 mai 2018, renforce la protection des données à caractère personnel des individus et confère de nouveaux droits à ces derniers. J’ai décidé de faire usage de mon droit d’accès auprès d’un certain nombre d’entreprises et vous partage, ici, le bilan de mes actions.

Plantons le décor

Comme le dit si bien Rayna Stamboliyska dans son article : « Exercice des droits à l’ère du RGPD : un sport de combat »  , c’est une « fausse surprise que de réaliser le désordre » ambiant en matière de protection des données à caractère personnel. La première loi relative au sujet existe depuis 1978. Nous sommes en 2018 et certaines entreprises n’appliquent pas totalement une loi déjà vieille de 40 ans.

Absence de procédure pour certains, de moyens de contact voire de mentions relatives à l’exercice des droits pour d’autres, réponse automatique indiquant que l’adresse mail contactée, pourtant récupérée sur le site officiel, n’existe pas … sont tant d’obstacles qui vous donnent envie de jeter l’éponge. N’y voyez pas le mal, 40 ans après informatique et libertés, des mois après RGPD, les entreprises ne sont simplement pas toutes organisées pour pouvoir répondre à des demandes d’individus, malgré les obligations existantes, c’est ça, la réalité du terrain.

Même s’il est problématique pour une organisation gérant des données à caractère personnel de ne pas savoir s’organiser pour respecter les droits des personnes, il faut aussi avouer que peu de gens connaissent leurs droits. Encore moins en font usage. Les entreprises se pensaient donc globalement « tranquilles », convaincues qu’elles avaient « le temps ». Jusqu’au RGPD, où de nombreux individus ont simplement pris conscience des droits existants, et ont décidé de les utiliser.

Résumons donc : une majorité d’entreprises n’est pas encore prête à répondre correctement à des demandes d’exercice d’un droit, qu’il existe depuis des années ou non. J’ai souhaité faire le point sur ma vie numérique, savoir qui disposait de quoi, sur ma personne, et j’ai commencé à solliciter différentes organisations traitant mes données afin d’exercer mon droit d’accès.

Le droit d’accès, mais encore ?

Exercer ses droits, ça semble plutôt facile sur le papier. En pratique, c’est loin d’être le cas.

Les mentions légales, les conditions générales d’utilisation, les politiques de confidentialité, sont autant de documents à lire et analyser pour trouver qui contacter, quelle procédure utiliser pour faire exercer ses droits. Conseil, si vous souhaitez exercer les vôtres, armez-vous d’un (grand) café avant de démarrer votre lecture.

Je ne détaillerai pas davantage l’exercice des droits, l’article de Rayna le faisant très bien, je vous invite à le lire, à nouveau. Ici, nous allons nous pencher sur « la suite », la pratique, et les réponses apportées.

La pratique

Round 1 : j’ai sollicité 21 entreprises afin de faire exercer mon droit d’accès. Sur ces 21, 18 disposaient d’un e-mail fonctionnel, les trois autres indiquant une adresse qui tombe en erreur et m’offrant pour seul réconfort un mail automatique, poli, me disant « désolé, l’adresse e-mail n’existe pas ».

Six des 18 entreprises ont été éliminées au round 2… pour avoir supprimé mes données alors que j’en demandais l’accès. J’imagine que ces entreprises ne doivent pas être habituées à recevoir des demandes, et sous le stress et la panique, elles ont supprimé l’intégralité de mes données au lieu de me les communiquer.

Mention spéciale sur ce round : une entreprise contactée pour un droit d’accès a supprimé mes données et m’a communiqué un e-mail m’indiquant la purge.

Quelques jours après, elle m’a communiqué un second e-mail, me disant qu’ils ne pouvaient pas satisfaire ma demande de droit d’accès, puisqu’ils ne disposaient d’aucune donnée sur moi…

Enfin, quelques jours après ce deuxième e-mail, une dernière communication est arrivée, me disant que si je voulais m’inscrire à nouveau au service, j’étais obligé de prendre contact directement avec l’entreprise, car mon adresse e-mail était « blacklistée », afin que je ne sois pas inscrit à nouveau sur leur systèmes… Il semble donc que la société conserve des informations sur moi, malgré la suppression annoncée, l’opération de « blacklistage » n’étant pas réalisable autrement.

Nous voilà au round 3, avec 12 entreprises toujours en course. Sur ces 12 entreprises, une m’a répondu en une heure qu’elle avait besoin d’un délai supplémentaire pour m’apporter une réponse. J’attends donc le retour de ladite entreprise.

Quatre entreprises ont répondu correctement, avec de bonnes informations, en me demandant de justifier de mon identité car elles n’étaient pas à même d’affirmer avec certitude que j’étais bien qui je prétendais être. A ce titre, ils m’ont demandé de justifier de mon identité, par tout moyen valable, et une entreprise m’a d’ores et déjà communiqué mes données. Bon point pour elle. Les trois autres n’ont pas encore donné suite, mais nous sommes dans le délai légal.

Ce qui nous laisse sept entreprises.

Bienvenue à Galère-Land.

Sur les sept entreprises restantes, cinq entreprises n’ont pas accusé la réception de ma demande. Je ne sais donc pas si elle est reçue, si elle est traitée, en cours de traitement ou si elle est tombée aux oubliettes.

Une entreprise n’a pas donné suite à ma demande pour le moment, mais phénomène improbable… je reçois des communications d’eux, communication que je ne recevais pas avant et qui sont clairement à vocation commerciale. Ecrire au DPO a donc conduit l’entreprise à m’adresser des e-mails commerciaux, que je n’avais pas avant et auxquels je n’ai pas consenti. Je vous laisse apprécier l’ironie de la situation, et j’espère pour eux qu’ils vont corriger rapidement le tir, la CNIL n’appréciant sans doute pas la pratique.

Enfin… mon « grand gagnant ». Une entreprise s’est retrouvée à commettre une violation de données en répondant à ma demande de droit d’accès. Ladite entreprise m’a communiqué les informations relatives à mon identifiant… qui appartenait manifestement à une autre personne avant. Et c’est ainsi que j’ai appris l’identité de la personne disposant de mon identifiant avant moi, de son nom, son prénom, son adresse, bref. Il semble que le service juridique se soit rendu compte de « la boulette », puisqu’ils m’ont contacté, pour tenter de me justifier l’erreur, me dire qu’elle n’arriverait plus, que c’était de ma faute et de celle du service client, qui a traité la demande, qui était « offshore ».

Non seulement les informations transmises ne sont pas les miennes, mais en plus l’entreprise n’assume pas son erreur et comble du comble elle ne m’a pas indiqué que ma demande était traitée en dehors du territoire de l’Union.

J’étais quelque peu…mécontent, mécontentement que j’ai signalé. Depuis, plus aucune nouvelle, plus de réponses. Dommage.

Bilan

Sur 21 entreprises, cinq ont répondu « dans les clous » à ma demande. Moins de 25%. Ce n’est certes pas un bon chiffre, mais il reste encourageant pour la suite. Les réponses qui m’ont été fournies sont complètes, bonnes, citent la règlementation de façon précise. Les réponses m’invitant à patienter également, le délai de réponse est mentionné, les justifications du temps de réponse sont communiquées.

Le niveau de maturité des organisations n’est pas homogène, certaines comprennent bien les enjeux, font preuve de sérieux, d’autres pas. Certaines s’y prennent parfois mal, peuvent être maladroites, là où d’autres ne vous répondent pas, ne semblent pas vous considérer et vous spamment alors que vous ne l’avez jamais demandé. Il reste encore un long chemin à parcourir pour un certain nombre d’entreprises, reste à savoir si cela se fera dans la bonne intelligence, ou dans la douleur des sanctions.

Source : http://pixellibre.net/2018/10/le-difficile-et-long-exercice-des-droits-sous-le-rgpd/


Confier son cul à un tiers de confiance, une bonne idée ?

jeudi 4 octobre 2018 à 21:14

Il fallait bien un titre un peu « putaclick » pour un sujet qui l’est tout autant. Et pour un retour sur ce blog, délaissé depuis des mois, faute de temps. Rentrons directement, sans mauvais jeux de mots, dans le vif du sujet : l’accès aux sites pornographiques, le Pr0n, comme on dit sur les Internets. Notre bon Secrétaire d’État au Numérique, Mounir Mahjoubi, vient de proposer une solution « innovante » pour contrôler l’accès aux sites dédiés à la pornographie : le tiers de confiance. Qu’est-ce ? Est-ce une bonne idée ? C’est la question à laquelle je vais essayer de répondre.

Posons le décor…

Le problème est le suivant : sur Internet, personne ne sait qui vous êtes vraiment, comprenez par là qu’un enfant de, admettons, 12 ans, peut cliquer sans aucun problème sur « oui, je suis un adulte et oui je veux voir des gens en train de pratiquer une activité sexuelle X, Y ou Z » (plutôt X en l’occurrence).

Les sites pornographiques ne vous demandent pas, en France du moins, de justifier ou de prouver votre identité pour accéder aux contenus, il vous suffit de cliquer sur un « je reconnais être majeur », voire simplement taper une adresse et « paf », vous voilà sur le site, avec un accès direct aux contenus.

De nombreuses personnes, des parents, des hommes et des femmes politiques, des personnalités, cherchent depuis des années un moyen de restreindre l’accès à ces contenus destinés aux adultes… seulement, une solution – entendons-nous bien, une solution fonctionnelle et respectueuse de votre intimité – n’existe tout simplement pas, dès lors qu’elle se situe ailleurs que sur votre ordinateur, installée, en dur. A ce titre, un proxy, type « contrôle parental », peut répondre à ce besoin, de façon plus ou moins précise.

Ce constat semble partagé par la classe politique, qui cherche, depuis des années, un moyen fiable de restreindre l’accès des sites pornographiques aux seules personnes adultes identifiées comme telles, et comme étant donc en droit d’aller se rincer l’œil, et autres joyeusetés, le secteur étant très imaginatif.

La solution miracle de « Magic Mounir »

Le « tiers de confiance ». Un « tiers de confiance », tel que présenté par le secrétaire d’état au numérique, consiste à s’identifier sur une plateforme, laquelle va dans un premier temps attester de votre identité; avant de transmettre un jeton, ou token, au site que vous souhaitez visiter, qui vous laissera alors passer et naviguer en paix.

On pourrait résumer cela en un agent de sécurité, connu de l’endroit que vous souhaitez visiter, qui vérifie votre carte d’identité et qui vous laisse rentrer. La direction de l’endroit ne sait pas qui vous êtes, n’a pas connaissance de votre identité, mais elle fait confiance à l’agent, le « tiers de confiance » donc, qui lui a dit « Ok il peut passer ».

La mise en place d’un tel système revient à poser une question, la plus importante sans doute : à qui doit-on faire confiance ? Qui peut devenir votre tiers de confiance pour identifier les visiteurs et leur permettre un accès aux vidéos ?

Il faut que le tiers soit sérieux, exemplaire, qu’il soit neutre, qu’il soit au fait que les accès qu’il va permettre sont tout de même sensibles, puisque ces derniers donnent accès à des images, sites et vidéos, disons-le clairement, de cul.

Est-ce que l’accès, une fois autorisé, est autorisé pendant une durée ? Si oui, laquelle ? Le temps d’une vidéo ? Le temps d’une session de navigation ? Un temps humain, en jour ? Si c’est en jour, comment s’assurer que la personne qui était sur un site porno de 08h12 à 08h40 ce matin est la même que celle de 22h00 ? Bref, de nombreuses questions sont soulevées par la présence de ce tiers de confiance et par son mode de fonctionnement également.

Seulement, ces questions techniques soulèvent d’autres questions, plus « morales » : est-ce que je peux, moi, faire confiance à ce tiers de confiance ?

Qu’est-ce qui me dit que les données de ce tiers ne vont pas être utilisées à d’autres fins que celles prévues, à savoir l’identification ? Qu’est-ce qui me dit que ces données ne vont pas être volées, un jour, par un … tiers ? Est-ce que j’ai vraiment envie de signaler chaque visite que j’effectue à un tiers ? Je la signale déjà à mon opérateur, à celui qui gère mon DNS, je ne vais pas, en plus, la signaler à un tiers qui n’a aucune raison technique d’exister, non ?

A ces questions, M. Mahjoubi répond : « nous pourrions utiliser France Connect ».

France Connect, pour celleux qui ne connaissent pas, est le système d’authentification unifiée (SSO en anglais) de l’Etat. Grâce à France Connect, vous pouvez être connecté à certains services de l’Etat, comme le site des Impôts, celui de la Sécurité Sociale (Ameli.fr) ou encore La Poste, et d’autres s’ajouteront à la liste au fil du temps.

L’idée serait donc de rajouter dans ce SSO l’accès à certains sites pornographiques, à côté d’Ameli et des Impôts. Pardonnez-moi l’expression, mais l’idée n’est pas franchement bandante.

La question à vous poser est « est-ce que je suis d’accord pour que l’Etat soit en capacité de savoir que je me suis connecté à telle, telle ou telle heure à tel, tel ou tel site de cul ? »

La réponse, normalement, est non, sauf si vous êtes excités à l’idée que l’Etat puisse disposer de ces informations (après tout, chacun sa source d’excitation).

Enlarge your problem

L’autre problème, plus large, est le suivant : si un tel système était adopté, quels seraient les sites concernés par cette authentification ? Les sites français ? Les sites européens ? Les sites à l’échelle de la planète ?

Et « les sites », quels sites, d’ailleurs ? Avec deux trois mots clefs évidents, il est possible de trouver des images, ou des GIFS, explicitement pornographiques, sur… Google. Est-ce que Google doit être connecté à ce « tiers de confiance », dans la mesure où il permet d’accéder à du contenu pornographique ? La question se pose aussi pour les réseaux sociaux, comme Twitter, où il n’est pas rare de croiser des vidéos entières, des images, des GIFS, de cul, voire de disposer de comptes spécifiquement dédiés au plaisir charnel. Twitter devrait-il être connecté à ce « tiers de confiance » ? Et la question peut se poser sur de très, très très très nombreux sites qui n’ont pas pour objectif principal de permettre l’accès à du contenu pornographique mais, qui, via leurs utilisateurs, en contiennent (coucou Tumblr).

La proposition de M. Mahjoubi est une mauvaise réponse à un vrai problème. L’industrialisation du porno a standardisé un certain nombre de pratiques, et le visionnage de ces vidéos ne devrait pas être possible pour les plus jeunes, premièrement car ces derniers pourraient être choqués, ensuite car ils peuvent ne pas être en capacité de comprendre que c’est un jeu, que ce sont généralement des acteurs, ou des amateurs qui se mettent en scène.

Mais… le « tiers de confiance », ce n’est pas une réponse adéquate. Pour toutes les raisons et les questions indiquées et pour bien plus encore.

Et si « le tiers de confiance », c’était l’éducation (sexuelle) des enfants, et l’accompagnement des parents, sur ce sujet encore trop tabou ?

Source : http://pixellibre.net/2018/10/confier-son-cul-a-un-tiers-de-confiance-une-bonne-idee/


Facebook et le Règlement Général sur la Protection des Données

lundi 23 avril 2018 à 15:16

Attention, cet article n’est pas une analyse juridique, ce n’est que le fruit d’une analyse personnelle, certes détaillée, mais personnelle. Faites attention.

Le 25 mai, c’est bientôt ! A ce titre, Facebook est en train de finaliser sa bascule pour se mettre en conformité avec la loi, le fameux RGPD ou GDPR en anglais, règlement dont tout le monde ou presque parle en ce moment.

Disposant d’une page Facebook et donc d’un compte Facebook, j’ai dû, comme beaucoup d’autres, lire et accepter les conditions pour pouvoir continuer à utiliser le réseau social. Je vous propose un petit retour sur ces nouvelles conditions d’utilisation et, plus globalement, sur la mise en conformité de Facebook au RGPD.

L’accompagnement de Facebook dans la lecture de la loi

Si vous disposez d’un compte Facebook, vous avez reçu un e-mail de chez eux, e-mail qui exige que vous acceptiez, ou non, les conditions générales d’utilisation du réseau social.

On découvre un lien « vérifier maintenant », qui, à titre d’information, se présente sous la forme suivante :

https://www.facebook.com/n/?gdpr%2Fconsent%2F&consent_mode=0&consent_region=0&entry_product=notification_email&aref=xxxxxxxxxxxxxxxx&medium=email&mid=xxxxxxxxxxxxxxxxxxxx&bcode=xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx&n_m=adresse_e-mail_du_compte_facebook

J’ai modifié mon URL pour vous représenter le type de donnée dont je vais parler.

En résumé, Facebook forge donc un lien spécifique pour vous, où il sait :

 

Ce sont des métadonnées liées au lien proposé, nous noterons simplement qu’elles sont assez précises et vous identifient formellement, puisque liées à votre e-mail.

C’est un point de détail, mais en cliquant sur ce lien, vous ne pourrez pas dire que vous ne saviez pas, Facebook disposant, à votre clic, d’un élément de preuve sur son obligation d’information à votre égard.

Ce lien vous renvoie sur une révision des conditions générales d’utilisation, que nous allons découvrir ensemble.

Première étape : la publicité ciblée

La première étape proposée dans cette révision des conditions générales porte sur les publicités ciblées.

Vous pouvez donc accepter ou refuser le pistage publicitaire, mais de façon partielle.

En désactivant ce paramètre, Facebook s’engage à ne plus utiliser de données de ses partenaires pour vous afficher de la publicité… mais Facebook continuera de s’en servir pour « fournir, personnaliser et améliorer » ses produits. Cf. image ci-dessous.

De la même façon, comme vous pouvez le lire, ne pas consentir à la publicité ciblée n’empêche pas Facebook d’utiliser ces données à des fins d’analyses et pour des services commerciaux.

Comprenez par-là que Facebook se réserve le droit d’utiliser vos données, vous n’aurez juste plus de publicité ciblée affichée à l’écran.

Il est impossible, en l’état, d’interdire à Facebook de se servir des données de ses partenaires, la limitation du traitement est donc … limitée. Tout comme le changement de fonctionnement, qui a une portée très limitée. Cela a le mérite d’exister, mais la portée de la modification est bien peu de choses face à la collecte instaurée par Facebook.

Le problème de la publicité ciblée n’est pas tant l’affichage de ladite publicité, Facebook le sait très bien. Le vrai problème de la publicité ciblée est davantage lié aux techniques et mécaniques de collecte et de croisement de données. Et Facebook ne permet pas,  volontairement selon moi, d’intervenir à ce niveau.

Pour une majorité de personnes, le fait de ne plus voir de publicité ciblée devrait suffire, certains penseront peut-être « Chouette, Facebook ne fait plus n’importe quoi avec mes données », à tort.

Facebook n’affiche plus de publicité ciblée, mais continue de faire n’importe quoi avec vos données. Il ne l’affiche simplement plus.

Seconde étape : la reconnaissance faciale

Seconde étape de la mise à jour des conditions générales d’utilisation, la reconnaissance faciale. Proposée par Facebook, elle est, pour le coup, assez claire. Facebook nous explique le principe de la reconnaissance faciale, son fonctionnement (votre photo est analysée et, de cette photo, on calcule une empreinte qui correspond à vous et uniquement à vous. On compare ensuite cette empreinte aux autres calculées et s’il y a correspondance, alors, c’est vous).

Ici, vous pouvez autoriser ou interdire à Facebook de vous reconnaître sur des photos ou des vidéos

Le paramétrage est clair et la formulation de l’interdiction d’usage est formelle. En refusant, Facebook n’est pas autorisé à vous reconnaître sur des photos ou des vidéos. Point.

Troisième étape : les conditions générales

Le problème épineux arrive. Après les deux premières étapes, Facebook vous demande d’accepter les conditions générales d’utilisation.

Dans ces conditions d’utilisation, on retrouve :

Ces conditions sont, dans l’ensemble, relativement claires. Regardons plus en détail la politique d’utilisation des données.

La politique d’utilisation des données

Dans cette politique, on retrouve les données que Facebook collecte (« vos activités, les activités des autres personnes, vos réseaux de contact, les informations relatives aux paiements, les informations relatives à vos appareils, les informations des sites web et applications qui ont recours à nos services, les informations des partenaires tiers et les informations en provenance des sociétés de Facebook »).

Je n’irai pas plus loin dans le détail des différentes politiques de Facebook, elles sont trop nombreuses pour être toutes traitées dans un seul article. Nous allons nous arrêter sur quelques points, et en particulier : « les informations des sites web et applications qui ont recours à nos services »

Le problème des produits Facebook

Les différentes politiques couvrent l’ensemble des produits Facebook… mais les produits Facebook, qu’est-ce que c’est ?

La réponse de Facebook est, à nouveau, assez claire sur le sujet :

Les Produits Facebook comprennent Facebook (notamment l’app mobile Facebook et le navigateur intégré), Messenger, Instagram (notamment les apps telles que Direct et Boomerang), tbh, Moments, Bonfire, Facebook Mentions, AR Studio, Audience Network et tout(e) autre fonctionnalité, app, technologie, logiciel, produit ou service proposé(e) par Facebook Inc. ou Facebook Ireland Limited, conformément à notre Politique d’utilisation des données. Les Produits Facebook comprennent également les Outils professionnels Facebook, des outils utilisés par les propriétaires de site web, les éditeurs, les développeurs d’applications ainsi que les partenaires commerciaux (notamment les annonceurs) et leurs clients, pour assurer des services commerciaux et échanger des informations avec Facebook, telles que les Social Plugins (par ex. : le bouton « J’aime » ou « Partager »), nos SDK et nos API.

(https://www.facebook.com/help/1561485474074139?ref=tos)

Spoiler : l’information qui sera traitée ici est la suivante : « des outils utilisés par les propriétaires de site web, les éditeurs, les développeurs d’applications ainsi que les partenaires commerciaux (notamment les annonceurs) et leurs clients, pour assurer des services commerciaux et échanger des informations avec Facebook, telles que les Social Plugins (par ex. : le bouton « J’aime » ou « Partager ») »

Ce qu’il faut comprendre, c’est que si vous acceptez les conditions générales, alors vous autorisez Facebook à effectuer un pistage massif de votre activité sur ses produits… dont le bouton j’aime ou celui de partage… boutons présents sur un nombre incalculable de sites web qui n’appartiennent pas à Facebook.

Ce point à lui seul mériterait un traitement à part, du côté de Facebook.

La problématique est la suivante : comment ne pas être pisté sur des sites web qui intègrent des services Facebook ?

La réponse proposée par Facebook est relativement simple : si vous n’êtes pas d’accord, vous devez arrêter d’utiliser Facebook.

La base légale

L’activité de Facebook repose essentiellement, pour ne dire exclusivement, sur des algorithmes, du calcul, du rapprochement de données et de l’analyse de ces dernières. Le business model de Facebook se base intégralement sur ce principe, c’est ce qui fait la pertinence du site et c’est ce que les sociétés qui travaillent avec Facebook recherchent : des informations fiables, qualifiées, un profil riche en information.

L’approche choisie par Facebook fait tout pour préserver son business model, ce n’est d’ailleurs sans doute pas pour rien que Facebook a décidé de proposer un modèle de conformité RGPD aux personnes identifiées comme étant concernées et uniquement à ces dernières.

Seulement, le business model n’est pas une base légale de traitement, au sens du RGPD.

La première partie de l’article 6 du règlement définit 6 bases légales de traitement, que voici :

  1. a) la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;
  2. b) le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures pré-contractuelles prises à la demande de celle-ci;
  3. c) le traitement est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis;
  4. d) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique;
  5. e) le traitement est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement;
  6. f) le traitement est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant.

Il apparait évident que la base légale du traitement opéré par Facebook n’est pas le point C, ni le point D, ni le point E.

En ce qui concerne le point A, c’est plus nuancé : via la mise à jour des conditions générales d’utilisation et l’obligation des les accepter, je donne un acte de « consentement » à Facebook quant à ce qu’ils font de mes données.

Le point B pourrait être invoqué, Facebook pourrait très bien dire que l’ensemble de ses mesures de pistage sont nécessaires à l’exécution d’un contrat.

Le point F pourrait également être invoqué par Facebook, qui pourrait faire savoir que le pistage est nécessaire aux intérêts légitimes de l’entreprise.

En ayant ce niveau de lecture, pas de problèmes… mais qu’en est-il si on entre vraiment dans le détail ?

NDLR : c’est à ce moment qu’on va vraiment entrer dans « la loi ».

La base légale du consentement (Art. 6-1.a)

L’article 6-1.a doit être rapproché de l’article 4, point 11, qui donne la définition du consentement :

«consentement» de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement;

Il doit également être rapproché de l’article 7, qui définit les conditions applicables au consentement, en particulier son point 4 :

Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat.

Enfin, il doit également être rapproché du considérant 43 :

Pour garantir que le consentement est donné librement, il convient que celui-ci ne constitue pas un fondement juridique valable pour le traitement de données à caractère personnel dans un cas particulier lorsqu’il existe un déséquilibre manifeste entre la personne concernée et le responsable du traitement, en particulier lorsque le responsable du traitement est une autorité publique et qu’il est improbable que le consentement ait été donné librement au vu de toutes les circonstances de cette situation particulière. Le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d’espèce, ou si l’exécution d’un contrat, y compris la prestation d’un service, est subordonnée au consentement malgré que celui-ci ne soit pas nécessaire à une telle exécution.

Les passages soulignés sont de mon fait, pour vous faciliter la lecture.

Facebook vous informe donc d’une actualisation de ses conditions générales d’utilisation, à laquelle vous devez consentir, et je n’ai aucun problème avec ça. C’est même parfaitement logique, comme partout : si vous n’êtes pas d’accord, vous n’utilisez pas, point.

En revanche, dans ces conditions générales d’utilisation, il est fait référence à la politique d’utilisation des données, dans laquelle on parle de l’ensemble des produits de Facebook.

Et il n’est pas possible d’accepter partiellement les conditions générales d’utilisation de Facebook. Par exemple, il n’est pas possible d’accepter la finalité de traitement de données issues exclusivement de Facebook et de refuser les traitements de données en provenance des sites tiers qui embarqueraient le script du bouton « j’aime ».

Partant de ce point, nous pouvons décemment nous interroger quant à la notion de liberté dans le consentement. Je n’ai pas un réel choix, si je veux continuer à utiliser Facebook, je dois accepter, sauf qu’en acceptant, je donne un accès très large à mes données, et que cet accès large présente un potentiel déséquilibre entre les personne concernée, à savoir moi, et le responsable de traitement, à savoir Facebook.

Partant de là, la base légale du consentement est fortement compromise.

La base légale de l’exécution contractuelle (Art 6-1.b)

L’article 6-1.b doit être rapproché du considérant 44, qui dit :

« Le traitement devrait être considéré comme licite lorsqu’il est nécessaire dans le cadre d’un contrat ou de l’intention de conclure un contrat. »

Il est question de nécessité. La nécessité commerciale ne pouvant être invoquée, on parlera de la nécessité technique… qui, elle aussi, est discutable.

Pour proposer de la publicité, Facebook peut faire de la pub dite « contextualisée », c’est-à-dire en référence à la page que vous êtes en train de visiter, au groupe d’intérêt par exemple.

Facebook peut également limiter les données utilisées dans son algorithme. Il sera moins pertinent, encore que cela reste à prouver, mais techniquement, c’est quelque chose d’imaginable, et pas quelque chose de nécessaire à l’exécution du contrat.

Comprenez par-là que, si demain, Facebook limite son algorithme, le réseau social continuera de fonctionner. Ils feront potentiellement moins d’argent, mais la base « on fait des sous » ne rend pas un traitement conforme à la loi pour autant.

La base légale des intérêts légitimes du responsable de traitement (Art. 6-1.f)

L’article 6-1.f est, lui, à rapprocher du considérant 47 :

Les intérêts légitimes d’un responsable du traitement, y compris ceux d’un responsable du traitement à qui les données à caractère personnel peuvent être communiquées, ou d’un tiers peuvent constituer une base juridique pour le traitement, à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable du traitement. Un tel intérêt légitime pourrait, par exemple, exister lorsqu’il existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations telles que celles où la personne concernée est un client du responsable du traitement ou est à son service. En tout état de cause, l’existence d’un intérêt légitime devrait faire l’objet d’une évaluation attentive, notamment afin de déterminer si une personne concernée peut raisonnablement s’attendre, au moment et dans le cadre de la collecte des données à caractère personnel, à ce que celles-ci fassent l’objet d’un traitement à une fin donnée. Les intérêts et droits fondamentaux de la personne concernée pourraient, en particulier, prévaloir sur l’intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s’attendent raisonnablement pas à un traitement ultérieur. Étant donné qu’il appartient au législateur de prévoir par la loi la base juridique pour le traitement des données à caractère personnel par les autorités publiques, cette base juridique ne devrait pas s’appliquer aux traitements effectués par des autorités publiques dans l’accomplissement de leurs missions. Le traitement de données à caractère personnel strictement nécessaire à des fins de prévention de la fraude constitue également un intérêt légitime du responsable du traitement concerné. Le traitement de données à caractère personnel à des fins de prospection peut être considéré comme étant réalisé pour répondre à un intérêt légitime.

Les passages soulignés sont de mon fait, afin de vous faciliter la lecture.

Les affaires liées à Facebook, qu’elles soient anciennes ou récentes, comme celle de Cambridge Analytica, nous démontrent qu’il existe un danger pour les intérêts et les droits fondamentaux de la personne concernée. Partant de ce principe, nous pouvons nous interroger quant à l’intérêt légitime que Facebook pourrait invoquer pour justifier l’exploitation de nos données personnelles.

Je ne fais pas partie de la CNIL, mais il serait intéressant d’avoir son avis sur la question. En qualité d’autorité gardienne de la protection de nos données et d’autorité de contrôle, en France, son retour sur la question serait précieux.

Mesdames et messieurs de la CNIL… ma porte est ouverte.

Mon avis est le suivant : invoquer l’intérêt légitime pour justifier la collecte de nos données personnelles n’est pas une garantie suffisante et ne représente pas une base légale de traitement sérieuse pour Facebook.

Partant de là, je ne vois pas de base légale de traitement vraiment solide.

Hormis la justification financière (« c’est notre business model »), il n’existe pas, selon moi, de base légale assez solide, ni d’acte de consentement assez libre pour justifier l’activité de Facebook et sa conformité au prochain RGPD. Et puisque, comme nous l’avons dit précédemment, la justification « c’est notre business » n’est pas une base légale…

Conclusion

Facebook est en train de se mettre en conformité au RGPD. Mon avis est qu’ils tentent d’établir des bases légales, qui, toujours selon moi, seront méticuleusement inspectées après le 25 mai.

Ces observations iront peut-être dans mon sens, ou peut-être pas, nous allons devoir encore patienter pour savoir si Facebook fait les choses correctement ou non.

Facebook n’est pas une petite entreprise, on peut légitimement supposer qu’ils ont été accompagnés par une armée d’avocats et de conseillers pour établir leurs nouvelles politiques et se mettre en conformité au règlement. Reste à voir si ces avancées seront jugées suffisantes au regard de la protection des données personnelles, surtout quand ce dernier a démontré et démontre encore qu’il n’est en mesure de protéger lesdites données.

Source : http://pixellibre.net/2018/04/facebook-reglement-general-protection-donnees-rgpd-gdpr/


En Bref : la sécurité des données dépend toujours du maillon le plus faible

dimanche 15 avril 2018 à 14:54

Comme dirait LinksTheSun, j’aimerais ouvrir une (

Si vous travaillez dans le monde de la sécurité, le titre du billet vous parlera forcément. Pour les autres, nous allons aborder un point relatif à la sécurité de l’information voire à la sécurité, de façon générale.

Il est important de comprendre que le monde de la sécurité n’est pas quelque chose à part, qui arrive à la fin d’un projet, d’un développement, de l’ouverture d’une activité. Il doit être présent à chaque étape, de quasiment, chaque projet. De la même manière, il est important de comprendre que le monde de la sécurité ne se résume pas à des programmes et des lignes de codes, des services et processus relatifs aux différents systèmes d’informations des sociétés.

Un bon niveau de sécurité s’intéresse à l’ensemble des éléments qui peuvent représenter un danger potentiel, un risque avéré, un point de faiblesse ou, pour résumer, à toute chose ou personne qui accède, utilise ou touche à de la donnée.

Vous vous demandez peut-être où je souhaite en venir ? La réponse arrive d’ici quelques paragraphes, encore un peu de patience.

Votre système d’information est potentiellement très sécurisé, vous avez un système d’identification et d’authentification robuste, les actions des personnes qui accèdent au système sont enregistrées, le matériel qui le compose est identifié, ses failles aussi, les ordinateurs les plus exposés sont mis à jour, sécurisés, chiffrés peut-être, bref… vous disposez d’un niveau de sécurité convenable, ou bon.

Mais est-ce assez ?

La sécurité doit toujours être évaluée en se basant sur le maillon le plus faible de la chaîne.

Et le maillon le plus faible de la chaîne, c’est vous. Pas plus tard qu’hier, une personne qui parlait, non loin de moi, était en train d’expliquer à ses interlocuteurs tout ce qu’elle faisait chaque jour, en donnant des noms d’applications, des problèmes de sécurité, des interlocuteurs et des fonctions au sein d’une entreprise, qui, soyons clairs, exige un niveau de sécurité maximal.

Les exemples sont hélas nombreux, que cela soit dans les transports en commun, les restaurants, dans une file d’attente, au self de la cantine collective ou dans tout autre lieu où, potentiellement, les informations que vous échangez ne sont pas en sécurité.

Comprenez par là la chose suivante : vous aurez beau sécuriser votre système de la meilleure des façons, si votre personnel n’est pas formé ou sensibilisé au risque qu’il représente et, que par inadvertance, il laisse fuiter des données, votre sécurité ne vous sera d’aucune utilité.

Fin de là ).

Source : http://pixellibre.net/2018/04/en-bref-la-securite-des-donnees-depend-toujours-du-maillon-le-plus-faible/


Pourquoi revendre ses données personnelles est une énorme c…

mardi 30 janvier 2018 à 14:03

Le Think-tank Génération Libre vient de publier un rapport sur les données personnelles. Dans ce dernier, particulièrement libéral, les auteurs proposent « d’instaurer une patrimonialité des données personnelles », un « droit de propriété sur les données », afin de pouvoir vendre, ou non, ses données personnelles.

Nous allons nous demander si l’idée de monétiser ses données personnelles est bonne ou pas. Spoiler : c’est une aberration.

Données personnelles, c’est-à-dire ?

Pour commencer, il est nécessaire de se demander à quoi « données personnelles » se réfère. La réponse, vous allez le voir, n’est pas si simple.

On retrouve la définition des données personnelles « réglementaire », à savoir « toute donnée qui permet directement ou indirectement d’identifier un individu ». Pêle-mêle, on parle de votre âge, votre sexe, du lieu de naissance, de votre adresse, de tout ce qui a un rapport direct ou indirect à vous.

Indirect signifie qu’il est également question des métadonnées, qui sont, pour rappel, « toutes les données qui gravitent autour du contenu principal, de la donnée » : l’heure d’envoi d’un sms, le temps passé à un endroit, la fréquence de contact avec une personne, le temps d’un appel, la destination d’un message, vos données de navigation, etc. Ces éléments permettant une identification indirecte.

Le caractère indirect des données personnelles doit nous faire prendre conscience d’une chose : certaines données « personnelles » sont davantage des données « communes », reliées à d’autres personnes que vous.

Partant de ce principe, revendre des données personnelles revient, parfois, voire souvent, à vendre aussi celles des autres. Or, vous n’êtes pas en droit de décider pour d’autres personnes, encore moins quand-il est question de revente…

Une donnée personnelle, ça vaut combien ?

C’est une question à laquelle il n’y a pas de réponse. Certains s’accordent à dire que la revente de vos données personnelles rapporterait une dizaine d’euros par ans, au mieux.

Il faut comprendre que vos données, seules, et sauf votre respect, ne sont pas intéressantes. Non pas qu’on se fiche de votre vie, mais c’est la somme des données et le croisement de ces dernières qui est intéressant, rien d’autre. Un système devient intéressant s’il est basé  sur des milliers de données, alors bon, vos données et uniquement vos données, « on s’en moque ». Pensez global et non individuel.

Définir la valeur d’une donnée personnelle est d’autant plus compliqué qu’en fonction de l’usage ou de l’instant, elle peut avoir plus ou moins de valeur : votre géolocalisation n’intéressera que très peu un acteur X, mais énormément un acteur Y.

Faudrait-il vendre deux fois ses données, à deux prix différents, à deux entreprises différentes ?

On commence à entrevoir l’énorme problème technique créé par cette idée de revente des données personnelles.

Qui dit revente, dit contractualisation de l’échange, donc acte inscrit « dans le marbre ». Or, qui rédigera le contrat ? Sera-t-il possible de le modifier ? Existera-t-il des clauses permettant de revenir en arrière et, si oui, seront-elles vraiment efficaces ? Et que faire si je ne veux plus que mes données soient utilisées ?

Il est encore possible de se demander si la cession des données personnelles à, disons, Facebook, ne vas pas aussi concerner Instagram ou WhatsApp.

Que faire si je décide de vendre mes données à Facebook mais pas à Instagram ou WhatsApp ?

Bref, un gros problème insoluble, si ce n’est en multipliant les contrats partout, en direct ou via des intermédiaires, avec les marques et les GAFA.

N’oublions pas non plus que contractualiser cette revente signifie lire des documents. La majorité des utilisateurs ne lisent pas les conditions générales d’utilisations, faute de temps et parfois, de capacité, certaines CGU étant imbuvables.

Pourquoi cela serait différent avec un contrat qui ne sera sans doute pas à notre avantage ?

Clôturons cette partie en parlant de la valeur « morale » ou « sentimentale » d’une donnée : la vie privée, l’intimité, est composée d’un ensemble de facteurs et de données personnelles.

Chaque personne accorde une importance différente aux pans ce cette intimité. Ainsi, certains ne voient pas de problèmes à exposer leurs scores dans des jeux vidéo, là où d’autres si. Certains ne voient pas de problèmes à exposer des aspects extrêmement intimes de leurs vies, là où d’autres s’y opposent fermement.

Un contrat, par définition, ne s’attache pas à la valeur qu’on donne à une donnée. Il est impensable que les GAFA (ou les autres) éditent des contrats sur-mesure, donc individuels. Un prix sera fixé par donnée, probablement arbitrairement, point.

Une boite de Pandore à ne pas|jamais ouvrir

Si ces idées de monétisation venaient à devenir la norme, la loi, alors il y a fort à parier que d’autres s’engouffreraient dans le précédent créé par ce changement.

Pour illustrer le propos, parlons un peu des assurances : le principe des assurances et la mutualisation des risques. En tant qu’assuré, vous payez une cotisation, ou prime d’assurance.

Cette cotisation vous protège financièrement des risques ou des dommages qui touchent ce qui est assuré (maison, voiture, etc.). Ce sont les cotisations qui font que vous êtes remboursé, non pas en fonction de qui vous êtes, mais en fonction du contrat auquel vous avez souscrit. Vous payez donc pour les autres, et les autres payent pour vous pour que, le jour venu, l’assurance puisse vous aider. C’est un principe de solidarité fondamental dans le monde de l’assurance.

Seulement, il y a fort à parier que les assurances seraient extrêmement intéressées par la revente des données personnelles, qui pourrait les conduire à un principe d’individualisation des assurances.

Vous pensez que c’est une bonne chose ? Détrompez-vous.

Votre hygiène de vie n’est pas exemplaire 24h/24 et l’information est transmise par votre montre connectée ? L’assureur pourrait vous faire payer plus cher. Vous vous appelez Mohamed et pas Julien ? L’assureur pourrait également vous faire payer plus cher, comme le démontre cet exemple. C’est une rupture franche de l’égalité que nous avons dans ces systèmes assurantiels.

On peut certes se dire que le principe n’est pas mauvais, puisqu’il tend à prendre « soin » de nous… mais en faisant cela, il mène aussi à une forme très violente d’autocensure, où (ne pas) faire certaines activités reviendrait à prendre des risques. Comme je l’ai dit de nombreuses fois ici, avoir quelqu’un qui vous observe constamment modifie obligatoirement votre comportement, même inconsciemment.

Ce n’est pas un problème d’argent

Enfin, et surtout, ce rapport laisse penser que l’exploitation des données personnelles n’est, au final, qu’un banal problème de rémunération des producteurs de données, à savoir nous.

L’exploitation des données personnelles, l’intrusion brutale dans les composantes de nos vies privées, n’est pas un problème d’argent. C’est un problème éthique et éminemment politique. La vision de Génération Libre est partielle, voire erronée. En ne solutionnant que l’aspect financier dans la gestion des données personnelles, on ramène l’utilisateur final, nous, à une simple question d’acceptation ou de refus de signer. Et Génération Libre de confirmer le propos en filigrane, dans son rapport :

« Mais au regard des faits actuels, est-ce que la soi-disant non patrimonialisation des données empêche une quelconque exploitation abusive de ses données ? Voyons-nous une baisse du nombre d’usurpations d’identité ? Force est de constater que non. On voit au contraire que le cyber-citoyen est désapproprié de son droit d’abusus. »

Nous sommes désappropriés de nos droits, nos données ne nous appartiennent déjà plus, fin du game ?

Exit les combats politiques, les propositions de loi, amendements, les luttes sur le terrain, les appels et les mails, les billets de blog, les personnes expertes, tout cela ne sert à rien puisque le combat est déjà perdu ?

Je ne peux être qu’en désaccord avec la vision de Génération Libre, la simple existence de ce billet exprime la force de mon désaccord.

Effectivement, le contrôle de nos données personnelles est de plus en plus difficile, les menaces qui pèsent sur notre intimité sont de plus en plus nombreuses et il n’y a pas une semaine sans une nouvelle découverte d’un abus, d’un problème ou d’une faille relative à nos données personnelles. Pour autant, quitte à marteler, la réponse à cela n’est pas, et ne peut pas être, purement et simplement financière.

Je vous invite à lire, et à partager, l’excellent billet « Revendre ses données « personnelles », la fausse bonne idée », de Mais où va le WEB. Son analyse est détaillée, avec des sources et elle est bien plus neutre que la mienne, bien que nos points de vue se rejoignent.

Je vous invite également à lire le tout aussi excellent article d’Olivier Ertzscheid, sur son blog : Faut pas prendre les usagers des GAFAM pour des Datas sauvages.

Et vous, vous en pensez quoi ?

PS : le rapport est téléchargeable… en échange d’une adresse mail. A qui j’envoie la facture ?

Source : http://pixellibre.net/2018/01/revendre-donnees-personnelles-enorme-c/