« Nos données personnelles sont-elles vraiment protégées avec le RGPD - En Quête de Sens » : différence entre les versions

De April MediaWiki
Aller à la navigationAller à la recherche
(Contenu remplacé par « Catégorie:Transcriptions Publié [https://www.april.org/nos-donnees-personnelles-sont-elles-vraiment-protegees-avec-le-rgpd-en-quete-de-sens ici] - Août 2018 »)
 
(13 versions intermédiaires par le même utilisateur non affichées)
Ligne 1 : Ligne 1 :
[[Catégorie:Transcriptions]]
[[Catégorie:Transcriptions]]


'''Titre :''' Nos données personnelles sont-elles vraiment protégées avec le RGPD ?
Publié [https://www.april.org/nos-donnees-personnelles-sont-elles-vraiment-protegees-avec-le-rgpd-en-quete-de-sens ici] - Août 2018
 
'''Intervenants :''' Camille Gruhier - Maître François Coupez - Benoit Piédallu - Sophie Nouaille
 
'''Lieu :''' Radio Notre Dame - Émission <em>En Quête de Sens</EM>
 
'''Date :''' juin 2018
 
'''Durée :''' 53 min
 
'''[https://radionotredame.net/emissions/enquetedesens/22-06-2018/ Écouter l'émission]'''
 
'''Licence de la transcription :''' [http://www.gnu.org/licenses/licenses.html#VerbatimCopying Verbatim]
 
'''NB :''' <em>transcription réalisée par nos soins. Les positions exprimées sont celles des personnes qui interviennent et ne rejoignent pas forcément celles de l'April.</em>
 
'''Statut :''' Transcrit MO
 
==Description==
 
Depuis le 25 mai dernier, le règlement européen pour la protection des données personnelles est entré en application! Il se nomme le RGDP et était dans les cartons depuis près de 6 ans! Qu’implique t-il pour les consommateurs et pour les organismes devant le mettre en application ? Ce nouveau règlement est censé procurer aux citoyens européens une protection maximale de leurs données. Mais qu’est ce qu’une donnée personnelle? A quoi s’engage t-on quand on accepte les conditions de traitement de nos informations? Quelle marge de manœuvre et de  liberté pour le citoyen ?
 
==Transcription==
 
<b>Voix off : </b>Radio Notre Dame – La vie prend un sens – <em>Enquête de sens</em> – Sophie Nouaille
 
<b>Sophie Nouaille : </b>Mais qu’est-ce donc que le RGPD qui régule la protection des données personnelles depuis le 25 mai dernier en Europe ? Qu’implique-t-il pour les consommateurs et pour les organismes qui vont devoir le mettre en application ? Ce nouveau règlement est censé procurer aux citoyens européens une protection maximale de leurs données. Mais qu’est-ce qu’une donnée personnelle ? À quoi s’engage-t-on quand on accepte les conditions de traitement de nos informations ? Quelle marge de manœuvre et de liberté pour les citoyens ? Explications avec mes invités aujourd’hui dans <em>Enquête de sens</em>. J’ai le plaisir d’accueillir Camille Gruhier. Bonjour Camille Gruhier
 
<b>Camille Gruhier : </b>Bonjour.
 
<b>Sophie Nouaille : </b>Vous êtes journaliste à la rédaction d’UFC-Que Choisir et vous vous êtes penchée, évidemment, sur le sujet.
 
<b>Camille Gruhier : </b>Oui, il y a beaucoup de choses à dire.
 
<b>Sophie Nouaille : </b>Beaucoup de choses à dire.
 
<b>Camille Gruhier : </b>Et puis il faut, évidemment, informer les consommateurs qui ne sont pas toujours au courant de ce qu’est ce nouveau règlement.
 
<b>Sophie Nouaille : </b>Voilà ! C’est bien pour ça qu’on vous a invitée aujourd’hui. J’ai le plaisir d’accueillir également maître François Coupez. Bonjour Maître.
 
<b>Maître François Coupez : </b>Bonjour.
 
<b>Sophie Nouaille : </b>Vous êtes avocat à la cour, associé du cabinet d’avocats ATIPIC, titulaire du certificat de spécialisation en droit des nouvelles technologies de l’informatique et de la communication. Donc vous êtes déjà un grand spécialiste, un bon spécialiste de toute cette juridiction, en tout cas, qui concernet nos données personnelles.
 
<b>Maître François Coupez : </b>Voilà, disons que pour simplifier ça fait à peu près 20 ans que je travaille sur ces thématiques.
 
<b>Sophie Nouaille : </b>Et puis, pour terminer, Benoît Piédallu. Bienvenue.
 
<b>Benoît Piédallu : </b>Bonjour.
 
<b>Sophie Nouaille : </b>Difficile un vendredi matin. Vous représentez La Quadrature du Net qui est une association de défense des droits et libertés et des citoyens sur Internet, fondée en 2008. La Quadrature du Net intervient dans les débats concernant la liberté d’expression, les droits d’auteur, la régulation du secteur des télécommunications ou encore le respect de la vie privée sur Internet. La Quadrature du Net a été instigatrice, aussi, pour cette mise en place du RGPD.
 
<b>Benoît Piédallu : </b>Oui. On a participé à l’écriture du texte, puisque depuis 2013 on a travaillé avec tout un tas d’associations européennes pour pousser un certain nombre de points du RGPD, par exemple le consentement explicite c’est quelque chose qu’on avait poussé depuis 2013 et qui est apparu dans le texte final, donc on est plutôt contents de la mouture finale du texte.
 
<b>Sophie Nouaille : </b>Camille Gruhier, on le disait tout à l’heure, ce n’est pas facile de s’y retrouver et le consommateur reçoit depuis quelques semaines, depuis le 25 mai dernier d’ailleurs, un tas de mails, de notifications en tous genres disant voilà je dois accepter, je dois donner mon consentement pour le traitement des données – alors quel que soit d’ailleurs : on est inscrit à une newsletter, on va recevoir quelque chose ; on fait partie d’un fichier d’une agence de presse par exemple –, on va recevoir des demandes, justement, pour, j’allais dire, donner notre consentement en tout cas accepter des nouvelles conditions.
 
<b>Camille Gruhier : </b>Oui c’est ça. C’est-à-dire que tous les services qu’on utilise au quotidien, tous les sites internet, tous les services numériques qu’on utilise, ont dû, en tout cas ont tous mis à jour leurs conditions générales d’utilisation et donc, pour continuer à utiliser ce service il faut revalider ses conditions générales d’utilisation, comme on l’a fait la première qu’on s’est inscrit ou la première fois qu’on a renseigné son e-mail pour recevoir une newsletter ou autre. Donc effectivement on a pléthore de mails qui nous inondent. On les valide, évidemment, comme toujours, sans faire attention.
 
<b>Sophie Nouaille : </b>C’est systématiquement, sans lire tout ce qui nous est proposé.
 
<b>Camille Gruhier : </b>D’ailleurs s’il faut les valider, parce que parfois c’est une simple information « nous mettons à jour nos conditions générales », on les accepte et puis voilà, sans vraiment savoir ce qui a changé dans le texte parce que toutes ces questions de données personnelles, de protection des données personnelles, sont, il faut bien l’admettre, très floues pour le grand public. On ne sait pas d’abord à quoi ça sert, pourquoi on collecte nos données. On a peu conscience, les consommateurs ont peu conscience que, finalement, ces données sont un terreau très fertile de business pour des entreprises qui ont tout intérêt à les collecter, ce qui crée d’ailleurs une espèce d’asymétrie entre, je dirais, le potentiel de business pour les entreprises et la méconnaissance du sujet des consommateurs qui est assez dommageable pour l’information en général.
 
<b>Sophie Nouaille : </b>Je me tourne vers maître François Coupez. Déjà on parle de données personnelles. Mais est-ce qu’on sait ce qu’est une donnée personnelle ? Est-ce que si je donne simplement, je vais remplir un formulaire sur Internet je vais mettre nom, prénom, mon nom, mon adresse mail, est-ce que ça constitue déjà une donnée personnelle ?
 
<b>Maître François Coupez : </b>Oui. On sait ce qu’est une donnée à caractère personnel parce qu’on avait une définition déjà dans la loi, en France, la loi du 6 janvier 1978 de ce qu’on appelait à l’époque les données, de façon générale on parlait de données nominatives ; on était très lié au nom ; puis on a évolué, on est passé aux données à caractère personnel avec les évolutions du texte. Maintenant on a le RGPD qui nous parle et là on est vraiment dans les données à caractère personnel, données personnelles. Données à caractère personnel, données personnelles, c’est grosso la même chose.
 
<b>Sophie Nouaille : </b>Mais qu’est-ce que c’est ? J’imagine parce qu’on est très peu à être allés regarder cette loi de 1978. On ne la connaît même pas.
 
<b>Maître François Coupez : </b>Cette définition, en fait, nous permet de déterminer que les données à caractère personnel, les données personnelles, sont toutes données qui sont liées à une personne et qui permettent directement ou indirectement son identification. Et le « ou indirectement » est très important parce que ça veut dire que même si celui qui traite la donnée n’est pas en mesure de faire le lien avec la personne mais qu’un tiers peut faire le lien, à ce moment-là on a une donnée à caractère personnel. Je prends un exemple : on sort dans la rue, dehors, on note toutes les plaques minéralogiques des voitures qui sont dans la rue ; on est en incapacité, nous qui notons ces numéros, de savoir qui est derrière. Pourtant, au niveau de l’État, quelqu’un est en mesure de faire le lien entre la plaque minéralogique et l’identité ; donc nous faisions un traitement de données à caractère personnel. Ce qui fait que les données à caractère sont extrêmement larges ; ça peut être une adresse IP dans un grand nombre cas.
 
<b>Sophie Nouaille : </b>Adresse IP c’est l’ordinateur ?
 
<b>Maître François Coupez : </b>Voilà. Une adresse qui permet l’identification d’une carte en réseau d’un ordinateur, pour faire simple, sur Internet. Ça peut être un élément d’identification matériel propre à un élément qui nous a été remis, comme une tablette ou autre, qui permet une identification relativement fiable; ça peut être un nom, prénom, un adresse e-mail, un pseudonyme ; ça peut être une photographie ; c’est extrêmement large !
 
<b>Sophie Nouaille : </b>C’est très large !
 
<b>Maître François Coupez : </b>Du moment que ça permet directement ou indirectement l’identification de la personne.
 
<b>Sophie Nouaille : </b>Benoit Piédallu, on se méfiait jusqu’à il y a quelques années du traitement de nos données personnelles, parce qu’on a l’impression qu’aujourd’hui on parle de <em>big brother</em>, on parle des GAFA qui utilisent nos données, on parle des entreprises qui s’échangent des fichiers, etc., à des fins de business comme le disait Camille Gruhier. On se soucie du traitement de nos données ?
 
<b>Benoit Piédallu : </b>Nous on s’en souciait depuis très longtemps. Les associations de défense des droits sur Internet quelles qu’elles soient, La Quadrature du Net en est une parmi d’autres, se souciaient beaucoup de ces questions-là, informaient autour d’elles tant qu’elles pouvaient du risque que ça causait de l’accumulation de données sur les gens ; c’est quand même un droit fondamental de ne pas avoir, comme ça, des données qui sont des informations sur soi-même qui sont traitées par les autres. Donc c’était quelque chose dont on se souciait énormément et c’est pour ça qu’en 2013 on s’est fortement lancés dans la bataille avec les énormes lobbyings que constituaient Facebook, Google et les autres, ce qu’on appelle les GAFAM, pour l’écriture du RGPD puisque c’était à ce moment-là qu’était rédigé le texte et nous on considérait qu’il était très important que le traitement des données se fasse de manière loyale vis-à-vis des citoyens européens. Et c’est pour ça qu’on considère, aujourd’hui, que c’est une bataille qui a quand même été largement gagnée parce que le texte a été écrit plutôt, modulo un certain nombre de petits bémols, plutôt pour aller dans le sens du respect des données personnelles du citoyen.
 
<b>Sophie Nouaille : </b>De façon collaborative, du côté citoyen. Camille Gruhier, on est bien lotis en France déjà dans la préparation, justement, de cette protection des données personnelles. On est quand même bien placés ?
 
<b>Camille Gruhier : </b>On est plutôt pas trop mal placés. En France on est plutôt pas trop mal placés par rapport au reste de l’Europe sachant qu’il y a d’autres pays leaders, notamment l’Allemagne, sur ce genre de question et on est surtout très bien placés par rapport au reste du monde. Si on considère l’Europe comme un des trois grands blocs au niveau mondial qui se soucient de la donnée personnelle, on a le bloc américain, le bloc asiatique attiré par la Chine qui, pendant très longtemps, n’en a pas eu grand-chose à faire des données personnelles des gens sur un modèle très autoritaire et un petit peu dans la lignée de son passé communiste ; et puis on a l’Europe qui donc a une réglementation aujourd’hui forte, européenne, et qui va être d’ailleurs observée par le reste du monde parce que sans doute on peut imaginer qu’on sera imités si ça fonctionne ! Donc on verra, l’avenir le dira ! En tout cas ce qui est sûr c’est que le monde entier nous regarde sur ce règlement européen, RGPD signifiant au passage Règlement général pour la protection des données. Je le dis une fois.
 
<b>Sophie Nouaille : </b>C’est vrai. Il faut le redire.
 
<b>Camille Gruhier : </b>On a tendance à le dire vite et on le résume souvent comme ça : le RGPD, ce n’est pas très joli comme acronyme.
 
<b>Sophie Nouaille : </b>Règlement général pour la protection des données.
 
<b>Benoit Piédallu : </b>Et puis ça a un vrai impact sur des sociétés qui sont internationales. C’est-à-dire que Google ou Facebook est obligé d’appliquer le RGPD en Europe ; en fait ils ont des systèmes qui sont internationalisés et la grande question aujourd’hui c’est est-ce qu’ils vont appliquer le système de protection des données sur l’ensemble de leurs utilisateurs, ou est-ce qu’ils vont se mettre à faire deux systèmes différents qui vont travailler en parallèle ?
 
<b>Sophie Nouaille : </b>Donc partitionner un peu !
 
<b>Benoit Piédallu : </b>Voilà ! Donc c’est aussi une opportunité aujourd’hui pour les citoyens de l’ensemble de la planète, pour ces grandes entreprises, éventuellement d’être protégés par le même système européen. Donc il y a un vrai débat en ce moment où Facebook s’est avancé en disant qu’ils allaient l’appliquer à tout le monde et puis ils ont dit non mais pas tout à fait. Donc il y a un vrai débat et un vrai enjeu en ce moment.
 
<b>Sophie Nouaille : </b>On a quand même une suspicion vis-à-vis de ces utilisations encore.
 
<b>Camille Gruhier : </b>Surtout que ces groupes américains d’abord n’ont aucun intérêt à limiter la collecte des données puisque c’est vraiment comme ça qu’ils arrivent à vendre de la publicité ciblée ; donc, si vous voulez, c’est un peu se tirer une balle dans le pied quand on regarde le règlement depuis leur fenêtre à eux, ils n’ont vraiment aucun intérêt à le faire. Donc derrière il faut se méfier surtout de la méthode avec laquelle ils vont le faire puisque sous couvert d’une transparence absolue et d’une mise en conformité…
 
<b>Sophie Nouaille : </b>D’une bonne volonté affichée.
 
<b>Camille Gruhier : </b>D’une bonne volonté farouche de se mettre vraiment en conformité avec la réglementation européenne qu’ils respectent au plus haut point bien sûr, évidemment derrière tout ça il faut se méfier, comme toujours, et puis lire les petits lignes grisées et nous pas cliquer par défaut sur les gros boutons bleus qui s’affichent ; plutôt se méfier et être, par défaut, plutôt méfiants vis-vis des GAFAM en particulier.
 
<b>Sophie Nouaille : </b>Maître François Coupez.
 
<b>Maître François Coupez : </b>Je pense qu’il y a un point sur lequel il est important de revenir pour les auditeurs c’est que là on parle de l’application internationale, grosso modo, du texte et on se dit les GAFAM vont être obligés de le respecter. Nous ça fait très longtemps qu’on conseille les entreprises sur la protection des données, etc., et il faut voir que le RGPD c’est quand même un changement de paradigme parce qu’il prévoit un certain nombre de choses, et je pense qu’on pourra y revenir, sur le contrôle mutuel des prestataires, des sous-traitants, etc., mais il prévoit un élément qui a été moteur, malheureusement, quand on en vient là j’en suis toujours désolé, mais c’est qu’il prévoit des sanctions extrêmement fortes qui vont jusqu’à 4 % du chiffre d’affaires annuel du groupe, et pas de l’entité au sein du groupe, qui n’a pas respecté le texte. Déjà, quand on a ce montant-là ! C’était Audiard, je crois, qui disait que quand on parle pognon, à partir d’un certain montant tout le monde écoute. Là c’est exactement ça qui fait qu’un certain nombre de personnes, les comités exécutifs par exemple au sein des entreprises, se sont posé la question.
Après, pour l’application aux GAFAM, il faut savoir que ce texte a été prévu pour s’appliquer de façon extrêmement large non pas seulement aux opérateurs européens, ça n’aurait pas beaucoup de sens, parce qu’ils étaient déjà tenus par un certain nombre de textes, mais pour s’appliquer à tous les acteurs mondiaux à partir du moment où les données, notamment c’est un des critères, à partir du moment où les données qui sont traitées sont les données des Européens sur le sol européen.
 
<b>Sophie Nouaille : </b>Sur le sol européen.
 
<b>Maître François Coupez : </b>Qui sont en Europe, grosso modo. Après il y a la question du suivi des populations, etc. Mais déjà ce critère-là « je propose des services à des Européens », à ce moment-là le texte s’applique. Donc que je sois Brésilien, Chinois, Tchétchène, Américain, etc.
 
<b>Sophie Nouaille : </b>Même si le site internet est basé ou a son siège aux États-Unis ou en Chine.
 
<b>Maître François Coupez : </b>Quel que soit l’endroit, à partir du moment où je m’adresse à des Européens, le texte s’applique. Et, allons plus loin, le texte prévoit également que les sous-traitants du responsable de traitement, c’est-à-dire celui qui organise le traitement, la collecte, etc., doivent être conformes au texte. Ce qui veut dire que les sous-traitants américains, ou d’un autre pays, d’une entité américaine qui propose des services en France, doivent également, en tant que sous-traitants, être conformes. Donc on a un effet boule de neige qui conduit, évidemment, à ce que tout le monde s’interroge sur ce texte et on a un effet qui commence à être tangible, puisque là on a une information qui est sortie hier soir, une indiscrétion venue de la Maison-Blanche, qui indique que, au niveau des États-Unis donc, l’exécutif américain serait en train de réfléchir à un texte fédéral sur la protection des données, pas calqué sur le modèle du RGPD parce que je pense que ça sera vraiment très difficile un changement de mentalité de leur côté, mais au moins pour essayer de voir comment se mettre en conformité ou comment challenger le texte européen.
 
<b>Sophie Nouaille : </b>On va poursuivre cette discussion. Est-ce que vous savez ce que sont vos données personnelles ? Est-ce que vous savez comment elles sont protégées ? Est-ce que vous vous sentez rassurés depuis la mise en application de ce règlement européen qu’on appelle le RGPG ? On se retrouve juste après ça.
 
<b>Voix off : </b><em>Enquête de sens</em>
 
[Informations concernant Radio Notre Dame]
 
<b>Voix off : </b><em>Enquête de sens</em>, Sophie Nouaille
 
==16’ 22==
 
<b>Sophie Nouaille : </b>On parle de la protection de nos données personnelles aujourd’hui avec la mise en application de ce règlement européen depuis le 25 mai dernier, le règlement européen pour la protection des données personnelles. Nos données personnelles, on en a parlé tout à l’heure avec maître François Coupez qui est avocat, qui s’est spécialisé en droit des nouvelles technologies de l’informatique et de la communication ; Camille Gruhier est journaliste à la rédaction UFC-Que Choisir et Benoît Piédallu de La Quadrature du Net, décidément en fin de semaine c’est compliqué. Benoît Piédallu on a l’impression que maintenant tout est rentré dans l’ordre finalement et que, grâce à ce règlement européen, eh bien on va pouvoir savoir ce qu’on fait de nos données personnelles. Ça veut dire qu’on va pouvoir tracer l’utilisation ? Est-ce que c’est vrai ?
 
<b>Benoît Piédallu : </b>Déjà, non les choses ne sont pas rentrées dans l’ordre. Tout un tas d’entreprises jouent pour l’instant, jouent la montre, jouent avec le contenu du texte et aujourd’hui La Quadrature a attaqué devant la CNIL portée par 12 000 mandats, 12 000 utilisateurs de services qui ont mandaté La Quadrature pour porter un certain nombre de questions face à la CNIL.
 
<b>Sophie Nouaille : </b>Par exemple ?
 
<b>Benoît Piédallu : </b>Par exemple on a Google ; on a porté pour Google, Apple, Amazon et d’autres qui, en fait, utilisent nos données personnelles sans un accord, sans un véritable consentement explicite.
 
<b>Sophie Nouaille : </b>Explicite ?
 
<b>Benoît Piédallu : </b>C’est-à-dire que ce sont des boutons qui ont été pré-cochés ; c’est un usage du site internet qui s’autorise à dire que si on utilise le site internet on accepte donc les conditions générales d’utilisation.
 
<b>Sophie Nouaille : </b>Donc on est piégé quelque part ?
 
<b>Benoît Piédallu : </b>En fait ça va à l’encontre du texte. C’est assez clair, le texte demande à ce que notre consentement soit explicite, éclairé, libre, ce qui va dans le sens d’une question posée très simple qui est « acceptez-vous que nous utilisions vos données ? » Oui ? Non ? Et après cette question-là, on peut utiliser le site internet ou le service quel qu’il soit sans aucune limitation. Et ça aujourd’hui, sur les services que nous avons visés, on a encore tout un tas de conditions qui ne sont pas respectées vis-à-vis du RGPD sur ces questions-là.
 
<b>Sophie Nouaille : </b>Je me tourne vers le juriste, Maître François Coupez sur ce consentement explicite. Alors consentement on comprend, explicite on comprend qu’il faut répondre oui ou non, mais on répond oui ou non à quoi ?
 
<b>Maître François Coupez : </b>Déjà un point qui ne me semble important c’est que pour traiter les données il faut avoir ce qu’on appelle un fondement légal. C’est-à-dire quelque chose qui encadre le traitement des données, qui explique pourquoi on les traite. Il y a six fondements légaux ; notamment il y a en a un c’est pour l’application, grosso modo, des textes réglementaires qui imposent de faire un traitement.
L’autre, un autre en tout cas un autre, c’est l’application du contrat. On veut conclure un contrat, dans le cas typiquement d’une banque, vous ouvrez un compte eh bien les données vont être traitées pour qu’on vous émette des chéquiers, tout simplement. Donc le traitement est normal dans le cadre de ce contrat-là pour émettre les moyens de paiement qui sont liés.
Et un autre fondement, c’est le consentement. Donc le consentement n’est pas le fondement ultime, n’est pas l’élément absolument obligatoire dans tous les cas ; c’est un des fondements. Il se trouve que dans le cas, en l’occurrence, qui est cité, il y a un groupe européen qui rassemble l’équivalent des CNIL dans les autres pays européens, qui s’appelle le Comité européen à la protection des données, qui a émis avant le RGPD – il y avait un autre nom, je ne vais rentrer dans les détails – il a émis un certain nombre de lignes directrices sur le sujet, il a notamment clairement indiqué, ce qui était également dans le texte, mais il a clairement réaffirmé que quand on traite les données en vertu d’un contrat, on ne peut les traiter, les données, que si elles ont absolument dans le cadre du contrat. Si on sort de ce cadre du contrat, à ce moment-là eh bien on regarde le fondement, notamment le consentement. Typiquement, dans l’application Google ou d’autres, quand on utilise par exemple un réseau social, sans citer de nom, quand on utilise un réseau social extrêmement connu, il est normal qu’il traite, en application du contrat, un certain nombre de données.
 
<b>Sophie Nouaille : </b>Ça fait partie de son activité.
 
<b>Maître François Coupez : </b>Ça fait partie de l’activité de ce qu’on demande. Par contre, qu’il utilise ces données pour nous envoyer de la publicité, pour vendre de la publicité, ça ce n’est pas nécessaire à l’application du contrat. Donc cette partie-là nécessite un fondement autre et, en l’occurrence, le fondement c’est le consentement.
 
<b>Sophie Nouaille : </b>Donc un consentement spécifique.
 
<b>Maître François Coupez : </b>Spécifique, libre, informé, et on doit véritablement dire « oui je veux bien être contacté pour de la publicité ou autre ». Là en l’occurrence, ce qui est mis en avant c’est que, quand on utilise le réseau social, on nous force à consentir à une exploitation autre, différente de celle du réseau social.
 
<b>Sophie Nouaille : </b>Mais ça on nous l’avait déjà un petit peu, Camille Gruhier. Quand on commande quelque chose sur Internet ou on va acheter un truc sur une boutique en ligne, on nous demande de cocher « est-ce que vous voulez, est-ce que vous acceptez qu’on transmette vos données à des partenaires commerciaux ? Par exemple est-ce que vous acceptez de recevoir des offres de tel ou tel partenaire ? »
 
<b>Camille Gruhier : </b>Oui, ça existe depuis longtemps, mais surtout le problème c’est que c’était pré-coché par défaut ce qui était déjà illégal auparavant, avant ce règlement européen ; ce qui est une mesure évidemment abusive et évidemment qui est fournie par les petites lignes et la plupart des consommateurs laissent cette case cochée, comme le fait de retenir les données de sa carte bancaire pour faciliter les achats, et puis la réception de newsletters et pire, la cession des données à des partenaires. Ce qui veut dire que là, clairement, on autorise le site internet à vendre la base de données. Donc on est purement un item dans une base de données qui permet au site internet de gagner de l’argent ; donc on devient une marchandise quelque part, nos données deviennent une marchandise et, du coup, effectivement c’est problématique.
Ces sites-là étaient déjà hors là-loi avant l’entrée en vigueur du règlement européen. On ose espérer qu’ils vont rectifier les choses, même si on est quand même très sceptiques sur la question. En tout cas ce règlement européen sans doute va-t-il contraindre théoriquement mais en tout cas, dans la pratique, sans soute les entreprises vont-elles se mettre en conformité et donc décocher ces petites cases par défaut, tout simplement parce que s’ils regardent chez le voisin, si leurs petits confrères et leurs concurrents le font, ils auront tout intérêt à le faire aussi dans un souci de transparence. Parce que s’ils continuent…
 
<b>Sophie Nouaille : </b>Ils seront en infraction eux-mêmes.
 
<b>Camille Gruhier : </b>Ils se seront en infraction et puis surtout, quand ils vont comprendre que les gens préfèrent aller sur des sites internet où tout est clairement expliqué ! Ils finiront par aller sur des sites internet où on a l’impression qu’on ne se fiche pas de nous.
 
<b>Sophie Nouaille : </b>Benoît Piédallu, est-ce qu’on peut vraiment être sûrs de la trajectoire de nos données ? Je m’inscris quelque part, je vais acheter quelque chose en ligne, une vente par correspondance ; j’ai téléchargé une application sur mon smartphone et, effectivement, j’ai rentré le numéro de ma carte bancaire, etc. Est-ce qu’on va être garanti qu’elles ne vont pas aller plus loin ces données ?
 
<b>Benoît Piédallu : </b>Par défaut non, techniquement on ne peut pas garantir que les données ne vont pas être transmise à des tiers. On peut uniquement faire confiance à la réglementation et à l’application de la réglementation. C’est pour ça qu’aujourd’hui il faut être très fermes, maintenant que le RGPD est entré en application, il faut être très fermes sur l’application du contenu de ce texte pour être sûrs que les entreprises ne vont pas à l’avenir continuer à avoir le comportement qu’elles avaient jusqu’à maintenant.
 
<b>Sophie Nouaille : </b>Mais théoriquement on est dans une bonne solution ? En tout cas on a quelque chose qui est pour la protection du citoyen ?
 
<b>Benoît Piédallu : </b>Tout à fait. Je reviens sur un point quand même qui est qu’il n’y a pas que le consentement explicite ou le contrat qui permettent de faire de l’usage de données, il y a aussi le troisième…
 
<b>Sophie Nouaille : </b>Un des fondements ? Maître François Coupez, on a dit il y a le consentement !
 
<b>Maître François Coupez : </b>Je ne sais pas lequel vous voulez voir exactement.
 
<b>Benoît Piédallu : </b>L’intérêt légitime.
 
<b>Maître François Coupez : </b>L’intérêt légitime.
 
<b>Sophie Nouaille : </b>Qu’est-ce qu’on entend par intérêt légitime ?
 
<b>Benoît Piédallu : </b>C’est une des failles du RGPD qui nous pose aujourd’hui un souci. L’intérêt légitime c’est un fournisseur de service qui va vous dire « oui mais moi pour fournir mon service, j’ai un intérêt légitime à traiter vos données d’une manière ou d’une autre ». Et aujourd’hui on a des sites de presse qui disent « eh bien oui, pour l’intérêt légitime de la fourniture d’un service de presse, d’une presse libre et fonctionnelle, eh bien je dois traiter vos données, je dois les vendre, je dois mettre des trackeurs dans nos pages et c’est mon intérêt légitime de pouvoir continuer à vivre ». Donc nous on fait très attention à cette question-là qui est une véritable faille qu’on avait vue à la construction du texte qui a été laissée et qui est aujourd’hui un véritable problème.
 
<b>Sophie Nouaille : </b>Ça veut dire que là on peut mettre en danger la liberté, la neutralité sur Internet.
 
<b>Benoît Piédallu : </b>C’est-à-dire que certains pourraient se permettre de dire « j’ai un intérêt légitime à traiter les données de la même manière que je le faisais avant. »
 
<b>Sophie Nouaille : </b>Mais si je partage avec ce service mes intérêts, les voyages, je ne sais pas le sport, etc., effectivement j’ai envie peut-être de recevoir des infos concernant ces centres d’intérêt ?
 
<b>Benoît Piédallu : </b>Oui, mais à ce moment-là vous le dites clairement et c’est là où il va falloir vous demander explicitement votre avis là-dessus.
 
<b>Sophie Nouaille : </b>Cet intérêt légitime, Maître François Coupez.
 
==25’ 51==
<b>Maître François Coupez : </b>Mon point de vue de ce côté-là c’est que l’intérêt légitime a des vrais intérêts, pour le coup, et que c’est une notion intéressante. Par exemple sur l’aspect sécurité : quand vous avez un pirate qui essaie de vous pirater votre site de commerce électronique, que vous collectez les adresses IP des personnes, donc les adresses qui permettent d’identifier les ordinateurs qui vous attaquent, vous n’allez pas prévenir auparavant ou même à posteriori, en disant « vous avez un droit à effacement de vos données, etc ». On est dans le cadre d’un intérêt légitime du responsable du traitement qui se protège contre une attaque. Donc il peut y avoir des cas où cet intérêt légitime, à mon sens, est parfaitement justifié.
L’interprétation du fameux Comité européen que je mentionnais, dans ses lignes directrices, c’est que l’intérêt légitime ça doit être une des solutions en dernier recours. C’est vraiment avec une interprétation extrêmement stricte et le régulateur, la CNIL donc, aura une interprétation extrêmement stricte là-dessus. Et juste un point pour finir là-dessus : on parle beaucoup d’entreprises qui ne respectent pas les règles. Je tiens quand même à signaler qu’on accompagne un certain nombre d’entreprises.
 
<b>Sophie Nouaille : </b>On n’est pas au bout de l’émission, maître François Coupez. Là on parlait des grands dossiers, des grandes boîtes. (???)
 
<b>Maître François Coupez : </b>C’est quand même important puisque là vraiment on assiste beaucoup, nous on assiste des très grandes entreprises, on assiste, je ne vais pas citer de noms mais au niveau bancaire, au niveau des transports, etc., il y a beaucoup d’entreprises qui ont pris le sujet à bras le corps depuis des années et qui sont parfaitement respectueuses des règles. De temps en temps il peut y avoir un manquement, une information, etc. qui peut manquer, mais on est très loin de certaines entreprises internationales dont on a pu parler au début qui clairement se mettent en dehors des règles et de la vision européenne de la gestion des données à caractère personnel.
 
<b>Sophie Nouaille : </b>Camille Gruhier.
 
<b>Camille Gruhier : </b>Effectivement. En fait je voulais juste préciser un petit peu les choses, c’est que depuis le début de l’émission on parle beaucoup de tous les effets négatifs, de la fraude et de tous ces aspects desquels il faut se méfier, j’imagine qu’on va en parler par la suite, mais il y a aussi des avancées quand même intéressantes pour le consommateur, des mesures qui sont très protectrices au quotidien.
 
<b>Sophie Nouaille : </b>J’allais en parler justement de la protection.
 
<b>Camille Gruhier : </b>Il y a quand même des volets très positifs à ce règlement. Évidemment, autour de la table, on est tous dans les petites lignes, on fait tous très attention, c’est notre métier au quotidien donc on a tendance à voir un petit peu ces aspects-là. Si on revient au début des choses, je dirais aux intérêts et aux avantages de ce règlement européen, c’est quand même qu’il introduit ou qu’il entérine des mesures qui étaient déjà dans la loi ou pratiquement applicables puisque elles faisaient partie de la jurisprudence européenne, etc. J’en cite juste quelques-unes comme ça : quand on va vouloir changer de service ou va pouvoir télécharger en un clic ses données. Effectivement, sur la mise en application de tout ça, il faudra voir comment ça se passe, mais dans la théorie, on va quand même pouvoir partir avec ses données quand on quitte un service.
 
<b>Sophie Nouaille : </b>De façon plus simple ?
 
<b>Camille Gruhier : </b>Dans un fichier lisible par tous les ordinateurs, on va dire ; pas dans un format propriétaire illisible, en théorie, donc on peut imaginer de l’Excel, on peut imaginer des fichiers que tout le monde peut ouvrir. Il faut quand même préciser aussi que, en cas de fuite de données dont parlait maître Coupez tout à l’heure, les consommateurs devront être informés tout de suite, donc par le service lui-même.
 
<b>Sophie Nouaille : </b>Qui devra vous demandez l’autorisation ? (???)
 
<b>Camille Gruhier : </b>Non ça veut dire « attention j’ai été victime d’une fraude, vos données sont en danger, changez vite votre mot de passe et ne vous inquiétez pas on fait tout pour essayer de régler le problème ». En tout cas il y a une information qui va être plus claire pour le consommateur. Voilà ! Il y a quand même des mesures qui sont assez protectrices et qui vont dans le sens d’une plus grande transparence de la protection des données.
 
<b>Sophie Nouaille : </b>Donc beaucoup plus de réactivité de la part de ces organismes si on leur demande quelque chose de précis sur nos droits et l’utilisation de ces données ?
 
<b>Camille Gruhier : </b>Aussi effectivement. On pourra demander à effacer tout de suite toutes ses données, normalement en un clic, comme le faisait déjà la loi CNIL, cette loi CNIL dont on parlait tout à l’heure qui est la loi de 1978 et dont le règlement européen prend la suite en quelque sorte. Elle existe. On la connaît tous parce qu’en fait, sur tous les services qu’on utilise, quelque part en petit c’est écrit : « vous détenez un pouvoir de modification et de rectification de vos données en vertu de la loi CNIL de 1978. »
 
<b>Sophie Nouaille : </b>Mais on ne sait pas trop comment faire.
 
<b>Camille Gruhier : </b>Oui, pas vraiment.
 
<b>Sophie Nouaille : </b>On se dit mais oh là, là, ça va être long, fastidieux.
 
<b>Benoît Piédallu : </b>Il y a toujours une adresse ; il faut écrire donc c’est compliqué et en effet peu de gens le font vraiment.
 
<b>Sophie Nouaille : </b>Quand l’adresse ne cache pas une page erreur derrière !
 
<b>Camille Gruhier : </b>Absolument !
 
<b>Sophie Nouaille : </b>Ça peut arriver souvent ! Benoît Piédallu, cette liberté aujourd’hui, cette neutralité, ce droit à l’oubli, ce droit d’accès amélioré c’est quand même, pour être positif, une chance pour le consommateur.
 
<b>Benoît Piédallu : </b>Tout à fait.
 
<b>Sophie Nouaille : </b>Le droit à l’oubli on rappelle ce que c’est ?
 
<b>Camille Gruhier : </b>En fait c’est la possibilité offerte au consommateur de demander au moteur de recherche qu’il efface un lien qui pointe dans un contenu qui le concerne. C’est un peu compliqué, je ne sais pas si c’est très clair dit comme ça. Je prends un exemple concret : on tape mon nom, Camille Gruhier dans Google ; on aboutit sur un lien, quand on clique dessus on aboutit à un article qui raconte qu’il y a 25 ans j’ai omis de déclarer une partie de mes revenus par exemple. Si j’estime que ça peut me porter préjudice aujourd’hui dans l’image, je ne souhaite que les gens en tapant mon nom dans Google sachent que j’ai omis de déclarer une partie de mes revenus il y a 25 ans – je n’en déclarais pas encore, mais bon ! – eh bien j’aurai le droit de demander à Google de déréférencer ce contenu. Ça ne veut pas dire que le contenu va disparaître.
 
<b>Sophie Nouaille : </b>Va disparaître, c’est ça !
 
<b>Camille Gruhier : </b>C’est ça la subtilité. Ça veut dire que le lien dans Google va disparaître ce qui, à mon avis…
 
<b>Sophie Nouaille : </b>Le lien peut être utilisé par d’autres sites.
 
<b>Camille Gruhier : </b>Si c’est un article de presse, l’article n’aura pas à disparaître. En revanche le lien qui y mène, ce qui est quand même la porte d’entrée à 90 % des contenus sur Internet, c’est Google.
 
<b>Sophie Nouaille : </b>Mais l’information reste quelque part quand même.
 
<b>Camille Gruhier : </b>L’information restera, bien sûr, en ligne.
 
<b>Sophie Nouaille : </b>Maître François Coupez.
 
<b>François Coupez : </b>Sachant qu’on peut malgré tout agir directement contre la personne qui a l’information et que, dans le cadre par exemple d’un réseau social où on a créé une page, avec le RGPD on a la possibilité non seulement de reprendre toutes ces informations et d’aller voir un autre voir réseau social avec tout l’historique de ce qu’on avait à l’origine et ensuite de fermer complètement son compte dans le premier réseau social, en faisant en sorte qu’il ne retienne plus aucune information sur nous.
 
<b>Sophie Nouaille : </b>C’est ça, mais il faut le fermer.
 
<b>François Coupez : </b>On peut le laisser ouvert. On peut avoir la possibilité d’avoir deux réseaux sociaux en parallèle ; comme on est multi-bancarisé, on a deux comptes bancaires différents, c’est parfaitement possible d’utiliser les données et de les reprendre dans un autre service. Ça ne veut pas dire qu’on ferme forcément le premier service.
Le principe du RGPD, c’est le principe de qu’on appelle l’<em>empowerment</em> c’est-à-dire la prise de contrôle de l’individu sur ses données. Il doit être en capacité, on doit lui donner la capacité de prendre en compte ses choix : je veux aller sur un autre service, je veux que ça soit simple, je veux qu’on efface mes données, etc. Il y a des limitations forcément, ce ne sont pas des droits absolus à chaque fois, mais ces droits sont quand même assez larges et notamment, quand on est sur la base du contrat ou sur la base du consentement dont on parlait précédemment, on a des possibilités assez intéressantes pour l’utilisateur mais qui sont également des opportunités pour les entreprises. Il faut aussi avoir ça en tête. Parce que quand le RGPD nous dit « vous devez avoir une vision extrêmement claire et faire une cartographie des données. »
 
<b>Sophie Nouaille : </b>Faire une cartographie des données.
 
<b>François Coupez : </b>Cartographie de toutes les données que vous traitez, c’est quand même la base pour assurer la sécurité. On focalise beaucoup sur le RGPD, mais il y a d’autres textes, européens ou français, qui imposent la sécurité des données – je ne vais pas parler des opérateurs d’importance vitale, des opérateurs de services essentiels, etc. –, mais grosso modo il y a vraiment une tendance extrêmement forte à l’heure actuelle pour imposer aux acteurs de mettre un niveau de sécurité minimum pour les acteurs qui ne respecteraient pas ça et c’est parfaitement en adéquation avec le RGPD parce que cette cartographie permet la réalité de la sécurité des systèmes d’information. Et d’un autre côté quand on cartographie, on sait aussi mieux exploiter ce que l’on a et on peut apporter des services qui sont véritablement répondants, qui répondent véritablement aux demandes des utilisateurs et des consommateurs, ce qui est un point également positif.
 
<b>Camille Gruhier : </b>C’est vrai que ce règlement européen donne l’occasion aux entreprises, qu’elle soit leur taille, de faire un peu le ménage dans leurs bases de données.
 
<b>Sophie Nouaille : </b>De faire le ménage, effectivement.
 
<b>Camille Gruhier : </b>Elles sont forcées de faire le ménage dans leurs bases de données et donc de mieux cibler leurs prospects par exemple et dans les règles, ce qui peut être pas mal, et on espère que ça mettra fin aux traitements des données dans tous les sens, n’importe comment, avec des bases de données. Au final une entreprise, quelle que soit sa taille et je pense particulièrement aux PME, qui ont tendance un peu à collecter n’importe quelles données, n’importe comment et qui, finalement, finissent par avoir des fichiers…
 
<b>Sophie Nouaille : </b>Dans différents services.
 
<b>Camille Gruhier : </b>N’importe où et qui ne sont pas forcément qualifiées, des données qualifiées ce sont des données qui sont utiles et qui permettent, effectivement, de cibler des consommateurs intéressés par tel ou tel produit. Le fait de faire le ménage dedans ça va leur permettre de mieux cibler leurs prospects avec des gens qui véritablement acceptent d’être contactés pour des propositions de nouveaux produits ou autres. Alors que ces entreprises, avec des bases de données qui sont complètement mal renseignées, elles vont finir par énerver les gens qui ne veulent pas recevoir de pub et donc c’est complètement contre-productif.
 
<b>Sophie Nouaille : </b>On poursuit cette discussion après avoir écouté Bernard Lavilliers.
 
<b>Voix off : </b>Radio Notre Dame.
 
==38’14==
 
<b>Sophie Nouaille : </b>Bernard Lavilliers

Dernière version du 11 août 2018 à 07:58


Publié ici - Août 2018

Récupérée de « http://wiki.april.org/index.php?title=Nos_données_personnelles_sont-elles_vraiment_protégées_avec_le_RGPD_-_En_Quête_de_Sens&oldid=80213 »