Différences entre les versions de « Démystification du RGPD - Xavier Mouton-Dubosc et Benjamin Benifei »
(→11’ 07) |
|||
| Ligne 76 : | Ligne 76 : | ||
==11’ 07== | ==11’ 07== | ||
| − | Donc cela va permettre, en fait, une mise à jour réelle de l’ensemble des pratiques sur la gestion de la vie privée | + | Donc cela va permettre, en fait, une mise à jour réelle de l’ensemble des pratiques sur la gestion de la vie privée. Cela va aussi limiter les tentatives de contrôle voulu par certains gouvernants des États européens, je ne pense pas que de la France, mais exemple aussi de la Pologne, de la République tchèque, de l’Angleterre – oui ils font encore partie de l’Europe. Bref <em>This is RGPD</em> ! |
| + | |||
| + | <b>Benjamin : </b>Ce qu’il faut voir, en fait, c’est qu’avant on avait une directive européenne en matière de protection des données. La directive doit être transposée, c’est-à-dire le droit national doit s’adapter. Là un règlement, le règlement est d’application uniforme sur tout l’espace de l’Union européenne et les États ont une marge de manœuvre très réduite pour adapter leur droit national à ce règlement et à ses principes. | ||
| + | |||
| + | <b>Xavier : </b>Même si elle existe. Si vous lisez, elle existe. On va rester quand même sur le terme RGPD, ce sera plus simple pour nous tous. | ||
| + | |||
| + | Mais le grand défi ça va être, dès maintenant, en fait on est en plein dedans et la plupart des gens ne s’en aperçoivent absolument pas, le grand défi va être de se préparer à ce qu’elle soit appliquée. Et pour cela Paul-Olivier Gibert qui est le président de l’association, en fait c’est une association qui regroupe les CIL de France, donc les correspondants informatique et libertés, a dit à ce sujet : « Pas mal d’opportunistes incompétents proposent de l’accompagnement RGPD. » | ||
| + | |||
| + | <b>Benjamin : </b>On s’est dit... | ||
| + | |||
| + | <b>Xavier : </b>Pourquoi pas nous ! | ||
| + | |||
| + | <b>Benjamin : </b>Pourquoi pas nous ! | ||
| + | |||
| + | [Rires] | ||
| + | |||
| + | Donc on va juste poser deux-trois bases, les définitions pour qu’on parle tous de la même chose. | ||
| + | |||
| + | Une donnée à caractère personnel qu’est-ce que c’est ? Vous avez les journalistes ou les écrits de vulgarisation qui vous parlent très souvent de donnée personnelle, le terme idoine, le terme qu’on trouve dans les normes c’est « donnée à caractère personnel ». Tout simplement une donnée à caractère personnel c’est une donnée qui permet d’identifier indirectement ou directement une personne physique. | ||
| + | |||
| + | On parle ensuite, désolé pour tout ce blabla un peu juridique, mais il faut qu’on pose les bases, il y a ensuite un deuxième acteur concernant la personne dont on va traiter les données, dont on va collecter les données, dont on va croiser les données, on a le responsable de traitement. Le responsable de traitement c’est celui qui ??? les moyens du traitement de données à caractère personnel. Et le traitement des données à caractère personnel c’est, très schématiquement, toute opération sur des données à caractère personnel, de la collecte à la suppression et tout au long de la vie de ces données dès lors qu’on les consulte, dès lors qu’on y a accès, dès lors qu’on les transfère, dès lors qu’on les chiffre, tout ça ce sont des traitements de données à caractère personnel. Donc vraiment, dès lors qu’il y a une opération sur les données, de la création du fichier jusqu’à sa destruction, ce sont des traitements. Et tous ces traitements entrent dans le cadre des diverses normes et notamment du RGPD, règlement général sur la protection des données. | ||
| + | |||
| + | <b>Xavier : </b>Et maintenant vous êtes là, on va vous faire participer, on va faire un quiz, alors n’hésitez pas à répondre. C’est un QCM relativement simple et dites-vous bien que d’autres parlent plus du RGPD que nous et en savent moins que vous. Et on le voit tous les jours et encore ce matin ! Bref, on y va. | ||
| + | |||
| + | Première question : Jusqu’ici il est impossible de se faire retirer d’une liste de démarchage publicitaire. | ||
| + | |||
| + | Je vais vous demander de lever la main ceux qui pensent que oui. Ça veut dire qu’il y en a qui ont tenté peut-être. Ceux qui pensent que non, ce n’est pas impossible. Ouais ! Et ceux qui pensent qu’ils ne sont pas sûrs. C’est mitigé, hein ! Mais ça reste une grande majorité de non. Et ça tombe bien. | ||
| + | |||
| + | <b>Benjamin : </b>Le RGPD, le règlement général est souvent présenté par divers prestataires comme une révolution. En fait non, ce n’est juste que la continuité des normes qu’on avait en vigueur, une harmonisation et effectivement les normes en vigueur prévoyaient le fait de pouvoir faire supprimer ses données dès lors qu’elles n’étaient plus pertinentes. Il y a des conditions pour accéder aux données qui vous concernent, les données qui sont traitées et qui vous concernent, mais vous pouviez et vous pourrez après et vous pouviez avant le 25 mai 2018 faire supprimer les données, notamment vous concernant pour le démarchage publicitaire dès lors que vous n’êtes plus intéressé. | ||
| + | |||
| + | <b>Xavier : </b>Jusqu’ici la CNIL a très peu sévi. | ||
| + | |||
| + | Qui pense que oui ? Ça fait bien 40 % de la salle. Qui pense que non, la CNIL a très bien sévi jusqu’ici ? Zéro ! [Sifflement]. Et qui ne se prononce pas. Ouais ! 30 %. | ||
| + | |||
| + | <b>Benjamin : </b>La CNIL, Commission nationale de l’informatique et des libertés, qui existe depuis 1978 est une autorité administrative indépendante et, en fait, elle a sévi. Elle fait des contrôles concernant des fichiers d’opérateurs publics comme d’entreprises privées et elle a sévi. Le problème c’est qu’elle fait avec les moyens qu’elle a. La CNIL c’est, je crois, 250 personnes. L’équivalent de la CNIL, l’ICO [Information Commissioner's Office], l’équivalent britannique a 500 personnes. Donc on voit beaucoup plus l’action quotidienne de l’autorité de protection britannique, mais le problème c’est que la CNIL a mis des amendes, la CNIL a contrôlé, la CNIL a publié des mises en demeure. Vous vous souvenez tous du petit bandeau qu’il y avait sur google.fr tout un week-end, qui a fait tomber le site de la CNIL parce que tout le monde cliquait sur le lien en bas de page. Donc voilà ! | ||
| + | |||
| + | <b>Xavier : </b>Et aussi une chose par rapport à l’ICO. La CNIL a un plateau téléphonique. On peut les appeler sur des questions, alors que l’ICO, tout est sur le Net. La contrepartie c’est que le site de l’ICO est superbe. | ||
| + | |||
| + | <b>Benjamin : </b>Ouais, c’est vrai. J’ai vu votre question. On parle souvent des sanctions pécuniaires, c’est-à-dire des amendes pour parler du RGPD. Vous avez pas mal de boîtes qui vous font de la pub en disant faites attention, mettez-vous en conformité parce que vous risquez jusqu’à oui, c’est vrai c’est dans les textes, jusqu’à 20 millions d’euros d’amende ou 4 % du chiffre d’affaires mondial, du chiffre d’affaires mondial je précise. Oui, ça fait peur, mais personnellement je serais responsable de traitement, je serais une entreprise pas en conformité, j’aurais plus peur qu’on me file une autre sanction, par exemple la sanction d’arrêter le traitement. C’est-à-dire vous ne pouvez plus collecter les données ou vous ne pouvez plus utiliser les données. Imaginez si, par exemple très schématiquement, on empêchait à Google de collecter des données sur tous les citoyens européens ? Personnellement je pense que ça leur ferait beaucoup plus de peine qu’avoir une amende, certes qui paraît exorbitante. J’avais une question, je ne sais pas si on les prend au fur et à mesure. | ||
| + | |||
| + | <b>Xavier : </b>Non on va les prendre après parce qu’on a vraiment beaucoup de points et tout va dépendre du temps qu’on aura, donc je suis vraiment désolé ! | ||
| + | |||
| + | Une adresse IP, une adresse Mac, ne sont pas des données à caractère personnel ? | ||
| + | |||
| + | Qu’est-ce qui pense que oui, ce ne sont pas des données à caractère personnel ? Une fois, deux fois trois fois. Ouais, on va dire 5 %. Non, c’est une donnée à caractère personnel. 80 %. Et qui ne sait pas ? Bon, c’est une forme. | ||
| + | |||
| + | <b>Benjamin : </b>Je reviens à la finition que j’ai posée il y a trois ou quatre slides, dès lors que ça permet d’identifier une personne physique, une personne précise, c’est une donnée à caractère personnel. En l’espèce on a eu des décisions de justice au plus haut niveau puisqu’on a eu des décisions de la CJUE, Cour de justice de l’Union européenne. Par exemple, vous êtes un fournisseur d’accès à Internet, vous savez très bien lequel de vos abonnés se trouve derrière quelle adresse IP à un instant donné. Donc dès lors, c’est une donnée à caractère personnel. | ||
| + | |||
| + | <b>Xavier : </b>Le RGPD est illisible, il est écrit <em>in English tecnocrat from resource???</em> comme les autres règlements européens ? | ||
| + | |||
| + | Qui pense que oui, c’est illisible ? | ||
| + | |||
| + | <b>Benjamin : </b>Dans tous les sens du terme. | ||
| + | |||
| + | <b>Xavier : </b>Non il est lisible ? 50-60 %, ouais pas mal. Et ne se prononcent parce qu’ils n’ont pas lu, 20 % d’accord. | ||
| + | |||
| + | <b>Benjamin : </b>Il y a beaucoup de gens qui ne l’ont pas lu, de toutes manières. | ||
| + | |||
| + | <b>Xavier : </b>Il faut être honnête. Moi j’ai trouvé beaucoup plus illisible que ça, je vous rassure ! | ||
| + | |||
| + | <b>Benjamin : </b>Le règlement général est, bien entendu, traduit dans toutes les langues de l’Union européenne. Certes il est un peu volumineux, mais la <em>data</em> est partout. On nous rebat les oreilles sur ça, donc il était important quand même de préciser le régime de tous ces traitements de données à caractère personnel. Oui, effectivement, c’est plus lisible que du Marc Lévy ! | ||
| + | |||
| + | <b>Xavier : </b>En plus je vais vous dire une chose, c’est que moi-même je ne suis pas franchement un spécialiste, mais je me le suis fadé en un week-end, et ce n’est que de la bonne pratique à l’intérieur. C’est d’une lisibilité, franchement, c’était l’été, donc j’étais près de la piscine, les deux me tentaient autant. Honnêtement, rarement j’ai vu un règlement européen aussi lisible. Plongez-vous dedans. Et pas « non, non ce n’est pas la peine de le lire, c’est illisible ! » On ne citera personne, on ne fera du <em>name and shame</em> ! | ||
| + | |||
| + | <b>Benjamin : </b>C’est mal parti ! | ||
| + | |||
| + | <b>Xavier : </b>Non, parce qu’il y a des spécialistes RGPD qui disent aux entreprises : « Ne perdez pas de temps à essayer de le lire ! » Et après on se rend compte qu’eux-mêmes ne l’avaient pas lu. | ||
| + | |||
| + | Le RGPD a été créé pour que les GAFAM prennent encore plus de nos données personnelles ? | ||
| + | |||
| + | Qui pense que oui ? OK. Qui pense que non ? Ouais ! 80 %. Et qui pense que oh ! 10 %. On pensait que vous aviez lu du Laurent Alexandre, un truc comme ça. Mince ! | ||
| + | |||
| + | <b>Benjamin : </b>On avait dit pas de <em>name-shaming</em> ! | ||
| + | |||
| + | <b>Xavier : </b>C’est bien. Bref ! Vous avez bien compris qu’en fait le RGPD a été motivé, effectivement, sur la concentration en silos des données et il est vraiment passé comme une lettre à la poste, justement par les révélations Snowden, par le fait que les services de renseignement pompent d’autant plus facilement la donnée que tout est dans certains silos. | ||
| + | |||
| + | Le RGPD a été écrit par les GAFAM pour empêcher les entreprises européennes d’être compétitives. | ||
| + | |||
| + | <b>Benjamin : </b>Ça c’est quelque chose qu’on entend vraiment beaucoup. | ||
| + | |||
| + | <b>Xavier : </b>On l’entend. Ce qu’on vous écrit, en fait, ce sont souvent des trucs qu’en entend, et dans les médias, des fois dans les très gros médias ! | ||
| + | |||
| + | Donc qui pense que oui, ça a été écrit par les GAFAMS ? Quand on connaît le budget que Google met pour aller voir les eurodéputés, je ne serais pas surpris. Non ? Ouais ! 80 %. Et ni ? 5 %. Au moins soyez honnêtes. | ||
| + | |||
| + | <b>Benjamin : </b>Là on vous a mis le titre complet du règlement. On parle beaucoup de RGPD ou GDPR, ce qu’il faut voir c’est qu’en fait ce règlement a deux objectifs, deux finalités principales. La première c’est la protection des données à caractère personnel des individus situés sur l’espace de l’Union européenne. Et la deuxième finalité c’est vraiment de favoriser la libre circulation de ces données dès lors que cette circulation est faite de manière encadrée, dès lors qu’elle est respectueuse de la vie privée des individus dont on traite les données ; c’est-à-dire dès lors qu’on les a informés que ces données sont traitées, il y a toute une batterie de principes, dès lors qu’ils savent où vont ces données, ce qu’on va faire avec, etc. Au sein de l’Union européenne cette libre circulation des données est acquise. | ||
| + | |||
| + | Par contre, plus largement à l’échelle mondiale, ce qu’il faut voir c’est qu’il y a diverses conditions, notamment le fait d’adhérer à des principes protecteurs, le fait d’avoir une loi nationale dans le pays où on envoie les données qui est protectrice également des données à caractère personnel. Il ne faut pas voir le règlement comme quelque chose qui va empêcher les entreprises d’être compétitives, qui va les empêcher de faire du business. Au contraire, on pense que ce processus d’amélioration continue de la protection de la vie privée c’est quelque chose qui pourrait être un avantage compétitif des entreprises européennes comme américaines, etc. Comme on va le voir dans quelques slides. | ||
| + | |||
| + | ==23’ 40== | ||
| + | |||
| + | <b>Xavier : </b>Et comme on l’a dit ce sont des bonnes pratiques. | ||
Version du 25 janvier 2018 à 15:52
Titre : Démystification du règlement général sur la protection des données
Intervenants : Xavier Mouton-Dubosc alias dascritch - Benjamin Benifei
Lieu : Capitole du Libre - Toulouse
Date : novembre 2017
Durée : 45 min min
Licence de la transcription : Verbatim
Statut : Transcrit MO
Description
Un texte européen entrera en application en mai prochain pour protéger la vie privée des individus ainsi qu’encadrer la collecte et les transferts de leurs données personnelles. À l’inverse de dizaines de webinars paranos, cette présentation du règlement général sur la protection des données (RGPD) vise à rappeler les fondamentaux, les droits des uns ainsi que les obligations des autres. Si comme beaucoup d’experts RGPD, vous n’avez pas lu le RGPD, cette conférence est faite pour vous.
Transcription
Xavier : On est là pour démystifier le RGPD et vite parce que tout simplement, dans 188 jours il entre en action. C’est pour ça que je parlais tout à l’heure de la date de l’examen qui sera donc le 25 mai et on va tous y passer !
Bonjour, je suis dascritch, je suis développeur, je fais aussi une émission sur Radio FMR qui s’appelle CPU et, accessoirement, je fais des fois des trucs avec d’autres comparses qu’on appelle des CryptoParties.
Benjamin : Bonjour à tous. Merci d’être venus. Je m’appelle Benjamin Benifei, je suis consultant en protection des données et donc je faisais de la protection de la vie privée, avant que ça soit cool, avant qu’on parle du RGPD à tout bout de champ.
Xavier : Avant 78 !
Benjamin : Waouh ! Pas avant 78 !
Xavier : Comme on n’a pas le temps, on va faire un petit peu un résumé des épisodes précédents pour ceux qui n’étaient pas là bien évidemment. D’abord ficher les citoyens c’est quelque chose qui est relativement vieux. Je vous rappelle, par exemple, que l’état-civil est l’une des causes qui fait que Jésus s’est retrouvé dans une mangeoire puisque Joseph était appelé à faire son recensement en Galilée. Richelieu lui-même fichait ses opposants. À partir du XIXème eh bien on commence à faire des élections, des élections censitaires, donc il fallait justifier qu’on avait un certain revenu pour voter et les pauvres, de toutes façons, pas besoin. Et en 1914, comme on allait lancer une guerre, on a fait une grande réforme des finances de l’État et on a créé l’impôt sur la fortune ce qui voulait dire, bien évidemment, qu’il fallait que l’on sache, en fait, ce que gagne chacun.
En 1941 à l’époque l’Allemagne avait un petit peu écrasé la France, comment ça c’est le cas maintenant ! Non, pas du tout ! Ce n’est pas la même chose ! Donc l’exercice de l’armée a été suspendu. L’armée était déjà à l’époque ??? une conscription et on demande à un haut-fonctionnaire de préparer le retour de l’armée au cas où, on ne sait jamais ! Enfin ils font ça un petit peu dans leur coin sans prévenir le reste du gouvernement de Vichy. Cette personne s’appelle René Camille et va créer, en fait, un premier fichage de l’ensemble des citoyens français. Le but du jeu est de recenser tous les hommes valides qui seraient susceptibles de reconstituer une armée.
Et pour cela, il va créer, en fait, un numéro d’identifiant unique pour tous les Français qui va être constitué de l’année de naissance, le mois de naissance, le département, un numéro à trois chiffres qui représente la commune et trois chiffres qui est le placement, en fait, dans le registre des naissances. Ça vous rappelle peut-être quelque chose, le numéro Insee. Mais il manquait un premier chiffre et comme ils se sont dit bon, là ça va peut-être un peu se voir. Le gouvernement de Vichy leur a dit : « Ah mais c’est super, pourquoi il n’y a pas de place. — Ah mais c’est par foyer. — Non on veut vraiment par individu. » Donc ils ont rajouté un premier chiffre où on en a en 1 les hommes et en 2 les femmes. Maintenant vous savez que c’est non seulement sexiste, mais ça c’est aussi pour dire allez messieurs partez à la bataille.
Mais est-ce que vous savez qu’en fait ce premier chiffre avait d’autres numéros en usage. Ainsi en 3 et en 4, on y mettait les indigènes des colonies, en 5 et en 6 les juifs des colonies. Attention les juifs de France étaient dans la classification 1 et 2. En 5 et en 6 c’est pour une question purement juridique, c’est parce que les juifs des colonies comptaient moins que les Français et colons, mais comptaient plus que les indigènes de nos colonies ; c’est beau la vie ! Et 7 et 8 pour les étrangers.
Bref ! On va bien évidemment garder le numéro Insee par la suite qui nous sert encore actuellement, mais le ministère de l’Intérieur en 1972 va se dire mais c’est bien pratique quand même d’avoir toutes ces infos sur les Français ; on va peut-être, grâce à la puissance du plan informatique, on va accumuler plus d’informations sur les Français, par exemple on va prendre non seulement leur numéro de sécurité sociale, mais on va le croiser avec les fiches de police puisqu’on en a plein. On va y mettre aussi les impôts après tout pourquoi pas ! Puisque toutes les banques sont nationalisées, elles vont nous donner tous leurs fichiers qu’elles ont sur chacun des Français là-dessus et puis les assurances aussi derrière, et tout ça.
Bref ! Évidemment cela pose quand même un problème pour les développeurs qui sont derrière et qui doivent construire ce fichier fabuleusement nommé SAFARI [Système automatisé pour les fichiers administratifs et le répertoire des individus]. La chasse aux Français est ouverte ! Je vous rappelle qu’à l’époque, quand même, on faisait des ratonnades. C’est dire si c’était très mal choisi !
Bien évidemment ces développeurs ne sont pas exactement d’accord puisque l’information sur ce fichier SAFARI n’est absolument publique ; on se le fait, là aussi, dans notre petit coin tranquille de notre ministère. Donc des informaticiens vont écrire un courrier au journal Le Monde. Le Monde va publier en 1974 non seulement leur tribune, mais aussi une enquête sur ce fichier SAFARI et les implications que cela a derrière. Cela va faire un véritable tollé. Bref ! Cela va aller jusque devant le Parlement. Il va avoir un gros débat juridique là-dessus et on arrive à la loi dite informatique et libertés.
Benjamin : La loi informatique et libertés de 78. On vous a mis le tout premier article qui indique que l’informatique doit être au service du citoyen. C’était vraiment assez puissant de commencer une loi en 78 par ces termes. C’est quelque chose qui est toujours d’actualité aujourd’hui, puisque vous savez qu’il y a tout plein de réflexions sur la gouvernementalité algorithmique, le pouvoir des algos, donc cet article reste plus que jamais d’actualité.
Xavier : Mais voilà, cette loi, en fait, date de 1978, mais elle sera quand même révisée au fur et à mesure et puis étendue par le jeu des autres lois. Si vous vous intéressez un petit peu aux amendements et à comment se constitue une loi en France, vous saurez que ce ne sont que des commits sur GitHub, c’est à peu près la même chose d’ailleurs. On retrouve le Code civil sur GitHub, c’est bien qu’il y a une raison ! Et d’ailleurs, elle passera carrément au niveau européen, puisque ce sera plus ou moins réunifié, parce que les autres pays ne nous ont pas attendu. Peut-être que vous ne le savez pas, mais dans la Constitution du Portugal, il y a un article de la Constitution qui précise très clairement ce que l’État n’a pas le droit de récolter comme informations et de centraliser comme informations sur les citoyens et surtout en croisements de fichiers, ce qui était très précoce. Et c’est aussi le cas pour les autres pays, bien évidemment.
Corollaire, de cette loi, on crée une haute autorité qui s’appelle la CNIL, qui est la Commission informatique et libertés, qui a donc principalement pour mission d’abord de contrôler et de censurer les fichiers de l’État. Mais aussi de contrôler, c’est-à-dire que les entreprises doivent faire une déclaration auprès de la CNIL quand elles créent un fichier et, éventuellement, de vérifier l’usage qui est fait de ce fichier et de le censurer sous le prix d’une belle amende. Ça on le verra tout à l’heure. Et cela instaure un droit aux particuliers à la rectification des informations ; attention, des informations inexactes. Ce n’est pas l’occasion pour dire qu’on est haut-chevalier de je ne sais quoi ou titulaire de la rosace, de la légion quelconque.
Malheureusement cette loi, quand même, montre ses limites ainsi que sa directive européenne qui en découle, tout simplement parce que entre temps est arrivé Internet. On va faire des achats sur Internet et puis on va commencer à avoir une industrie qui va arriver qui va être l’industrie de la publicité. Donc on va commencer à récolter des informations, à faire du profilage sur les gens et, qui plus est, ce sont des entités qui ne sont pas soumises aux lois européennes puisque, bien souvent, elles sont placées en dehors de l’Europe, du moins pour les plus grands acteurs de ce côté-là.
En aussi en 2001, on a un triste évènement le 11 septembre – non il ne faut pas croire qu’on ne parle que de Toulouse –, mais qui va instaurer pas mal de lois qui attendaient sur une étagère un évènement triste, grave, mais oh ! ça tombe bien ! J’ai une loi antiterroriste et là-dessus on va retirer à la CNIL le droit de sévir et de censurer, en fait, les fichiers de l’État, à tel point qu’il y avait je crois à l’époque quelque chose comme 70 fichiers illégaux de police ; tout d’un coup ils sont devenus légaux puisque la CNIL n’avait plus le droit de rien dire dessus.
Parallèlement, en 2003, la Californie instaure en fait une nouvelle obligation. C’est une loi qui oblige les entreprises qui entreposent des données personnelles sur des individus de prévenir ces individus si ces données ont fuité à cause d’un piratage, d’une malveillance ou, tout simplement, d’un administrateur système qui aurait mieux fait, quand même, de faire son boulot. Cette loi va être transposée au fur et à mesure dans différents États des États-Unis ; même Barak Obama va faire un discours, d’ailleurs, si je me trompe, devant le Congrès. En 2015, ça va devenir, en fait, une loi fédérale.
Il faut savoir que cette loi va aussi inspirer le législateur européen. Il se trouve qu’en 2002 en Europe on avait une directive e-Privacy sur la gestion de la vie privée sur Internet et c’est la révision de 2009 de cette e-Privacy qui va justement apporter plus ou moins le concept d’obligation d’informer en cas de fuite d’une donnée personnelle. Mince !
Benjamin : C’est vrai, il y a peut-être un petit souci !
Xavier : Vous savez ce qu’elle a introduit aussi la directive de 2009 ? Elle introduit, bien évidemment, le grand bandeau que là on va vous mettre de suite : « En poursuivant l’écoute de cette conférence, vous acceptez nos CGV et l’utilisation de cookies pour vous proposer des contenus et services adaptés aux centres d’intérêt qui nous permettent l’utilisation de boutons de partage sociaux. Pour en savoir plus et gérer ces paramètres, demander Simon sur la mailing-liste orga@capitoledulibre. » C’est fait !
Benjamin : Parfait !
Xavier : 2012. On a un dépoussiérage qui est fait à l’initiative d’un groupe constitué aussi bien des écologistes allemands et d’une élue du Parti pirate auprès du Parlement européen pour revoir justement et unifier l’ensemble de ces directives, puisque les directives ne sont pas toutes uniformes, pas toutes transposées sur le domaine national.
Benjamin : Les lois des États membres de l’Union européenne sont plutôt disparates et donc on s’est dit, enfin le législateur européen s’est dit qu’il fallait peut-être harmoniser tout cela. C’est pour cela qu’on a commencé à parler, dès 2012, d’une nouvelle norme en matière de protection de la vie privée des citoyens européens et le règlement général est ce qui a abouti. Personnellement j’ai lu quatre ou cinq versions. Dascritch va vous dire pourquoi ça s’est précipité vers la fin, pourquoi tous les députés européens et les instances européennes se sont dépêchées.
Xavier : Je ne vais même pas vous le dire. Il y a un excellent documentaire qui est passé sur Arte, qui a suivi l’écriture de cette loi, où on voit les représentants des partis populaires, donc les partis de droite, le rapporteur qui est face à une immense pile de papiers et donc députés et partis de droite qui lui disent : « Écoutez, vous voyez tout ça, ça ce sont tous nos amendements. Vous les jetez là, parce qu’après ce que vient de nous dire Snowden avant-hier ! »
11’ 07
Donc cela va permettre, en fait, une mise à jour réelle de l’ensemble des pratiques sur la gestion de la vie privée. Cela va aussi limiter les tentatives de contrôle voulu par certains gouvernants des États européens, je ne pense pas que de la France, mais exemple aussi de la Pologne, de la République tchèque, de l’Angleterre – oui ils font encore partie de l’Europe. Bref This is RGPD !
Benjamin : Ce qu’il faut voir, en fait, c’est qu’avant on avait une directive européenne en matière de protection des données. La directive doit être transposée, c’est-à-dire le droit national doit s’adapter. Là un règlement, le règlement est d’application uniforme sur tout l’espace de l’Union européenne et les États ont une marge de manœuvre très réduite pour adapter leur droit national à ce règlement et à ses principes.
Xavier : Même si elle existe. Si vous lisez, elle existe. On va rester quand même sur le terme RGPD, ce sera plus simple pour nous tous.
Mais le grand défi ça va être, dès maintenant, en fait on est en plein dedans et la plupart des gens ne s’en aperçoivent absolument pas, le grand défi va être de se préparer à ce qu’elle soit appliquée. Et pour cela Paul-Olivier Gibert qui est le président de l’association, en fait c’est une association qui regroupe les CIL de France, donc les correspondants informatique et libertés, a dit à ce sujet : « Pas mal d’opportunistes incompétents proposent de l’accompagnement RGPD. »
Benjamin : On s’est dit...
Xavier : Pourquoi pas nous !
Benjamin : Pourquoi pas nous !
[Rires]
Donc on va juste poser deux-trois bases, les définitions pour qu’on parle tous de la même chose.
Une donnée à caractère personnel qu’est-ce que c’est ? Vous avez les journalistes ou les écrits de vulgarisation qui vous parlent très souvent de donnée personnelle, le terme idoine, le terme qu’on trouve dans les normes c’est « donnée à caractère personnel ». Tout simplement une donnée à caractère personnel c’est une donnée qui permet d’identifier indirectement ou directement une personne physique.
On parle ensuite, désolé pour tout ce blabla un peu juridique, mais il faut qu’on pose les bases, il y a ensuite un deuxième acteur concernant la personne dont on va traiter les données, dont on va collecter les données, dont on va croiser les données, on a le responsable de traitement. Le responsable de traitement c’est celui qui ??? les moyens du traitement de données à caractère personnel. Et le traitement des données à caractère personnel c’est, très schématiquement, toute opération sur des données à caractère personnel, de la collecte à la suppression et tout au long de la vie de ces données dès lors qu’on les consulte, dès lors qu’on y a accès, dès lors qu’on les transfère, dès lors qu’on les chiffre, tout ça ce sont des traitements de données à caractère personnel. Donc vraiment, dès lors qu’il y a une opération sur les données, de la création du fichier jusqu’à sa destruction, ce sont des traitements. Et tous ces traitements entrent dans le cadre des diverses normes et notamment du RGPD, règlement général sur la protection des données.
Xavier : Et maintenant vous êtes là, on va vous faire participer, on va faire un quiz, alors n’hésitez pas à répondre. C’est un QCM relativement simple et dites-vous bien que d’autres parlent plus du RGPD que nous et en savent moins que vous. Et on le voit tous les jours et encore ce matin ! Bref, on y va.
Première question : Jusqu’ici il est impossible de se faire retirer d’une liste de démarchage publicitaire.
Je vais vous demander de lever la main ceux qui pensent que oui. Ça veut dire qu’il y en a qui ont tenté peut-être. Ceux qui pensent que non, ce n’est pas impossible. Ouais ! Et ceux qui pensent qu’ils ne sont pas sûrs. C’est mitigé, hein ! Mais ça reste une grande majorité de non. Et ça tombe bien.
Benjamin : Le RGPD, le règlement général est souvent présenté par divers prestataires comme une révolution. En fait non, ce n’est juste que la continuité des normes qu’on avait en vigueur, une harmonisation et effectivement les normes en vigueur prévoyaient le fait de pouvoir faire supprimer ses données dès lors qu’elles n’étaient plus pertinentes. Il y a des conditions pour accéder aux données qui vous concernent, les données qui sont traitées et qui vous concernent, mais vous pouviez et vous pourrez après et vous pouviez avant le 25 mai 2018 faire supprimer les données, notamment vous concernant pour le démarchage publicitaire dès lors que vous n’êtes plus intéressé.
Xavier : Jusqu’ici la CNIL a très peu sévi.
Qui pense que oui ? Ça fait bien 40 % de la salle. Qui pense que non, la CNIL a très bien sévi jusqu’ici ? Zéro ! [Sifflement]. Et qui ne se prononce pas. Ouais ! 30 %.
Benjamin : La CNIL, Commission nationale de l’informatique et des libertés, qui existe depuis 1978 est une autorité administrative indépendante et, en fait, elle a sévi. Elle fait des contrôles concernant des fichiers d’opérateurs publics comme d’entreprises privées et elle a sévi. Le problème c’est qu’elle fait avec les moyens qu’elle a. La CNIL c’est, je crois, 250 personnes. L’équivalent de la CNIL, l’ICO [Information Commissioner's Office], l’équivalent britannique a 500 personnes. Donc on voit beaucoup plus l’action quotidienne de l’autorité de protection britannique, mais le problème c’est que la CNIL a mis des amendes, la CNIL a contrôlé, la CNIL a publié des mises en demeure. Vous vous souvenez tous du petit bandeau qu’il y avait sur google.fr tout un week-end, qui a fait tomber le site de la CNIL parce que tout le monde cliquait sur le lien en bas de page. Donc voilà !
Xavier : Et aussi une chose par rapport à l’ICO. La CNIL a un plateau téléphonique. On peut les appeler sur des questions, alors que l’ICO, tout est sur le Net. La contrepartie c’est que le site de l’ICO est superbe.
Benjamin : Ouais, c’est vrai. J’ai vu votre question. On parle souvent des sanctions pécuniaires, c’est-à-dire des amendes pour parler du RGPD. Vous avez pas mal de boîtes qui vous font de la pub en disant faites attention, mettez-vous en conformité parce que vous risquez jusqu’à oui, c’est vrai c’est dans les textes, jusqu’à 20 millions d’euros d’amende ou 4 % du chiffre d’affaires mondial, du chiffre d’affaires mondial je précise. Oui, ça fait peur, mais personnellement je serais responsable de traitement, je serais une entreprise pas en conformité, j’aurais plus peur qu’on me file une autre sanction, par exemple la sanction d’arrêter le traitement. C’est-à-dire vous ne pouvez plus collecter les données ou vous ne pouvez plus utiliser les données. Imaginez si, par exemple très schématiquement, on empêchait à Google de collecter des données sur tous les citoyens européens ? Personnellement je pense que ça leur ferait beaucoup plus de peine qu’avoir une amende, certes qui paraît exorbitante. J’avais une question, je ne sais pas si on les prend au fur et à mesure.
Xavier : Non on va les prendre après parce qu’on a vraiment beaucoup de points et tout va dépendre du temps qu’on aura, donc je suis vraiment désolé !
Une adresse IP, une adresse Mac, ne sont pas des données à caractère personnel ?
Qu’est-ce qui pense que oui, ce ne sont pas des données à caractère personnel ? Une fois, deux fois trois fois. Ouais, on va dire 5 %. Non, c’est une donnée à caractère personnel. 80 %. Et qui ne sait pas ? Bon, c’est une forme.
Benjamin : Je reviens à la finition que j’ai posée il y a trois ou quatre slides, dès lors que ça permet d’identifier une personne physique, une personne précise, c’est une donnée à caractère personnel. En l’espèce on a eu des décisions de justice au plus haut niveau puisqu’on a eu des décisions de la CJUE, Cour de justice de l’Union européenne. Par exemple, vous êtes un fournisseur d’accès à Internet, vous savez très bien lequel de vos abonnés se trouve derrière quelle adresse IP à un instant donné. Donc dès lors, c’est une donnée à caractère personnel.
Xavier : Le RGPD est illisible, il est écrit in English tecnocrat from resource??? comme les autres règlements européens ?
Qui pense que oui, c’est illisible ?
Benjamin : Dans tous les sens du terme.
Xavier : Non il est lisible ? 50-60 %, ouais pas mal. Et ne se prononcent parce qu’ils n’ont pas lu, 20 % d’accord.
Benjamin : Il y a beaucoup de gens qui ne l’ont pas lu, de toutes manières.
Xavier : Il faut être honnête. Moi j’ai trouvé beaucoup plus illisible que ça, je vous rassure !
Benjamin : Le règlement général est, bien entendu, traduit dans toutes les langues de l’Union européenne. Certes il est un peu volumineux, mais la data est partout. On nous rebat les oreilles sur ça, donc il était important quand même de préciser le régime de tous ces traitements de données à caractère personnel. Oui, effectivement, c’est plus lisible que du Marc Lévy !
Xavier : En plus je vais vous dire une chose, c’est que moi-même je ne suis pas franchement un spécialiste, mais je me le suis fadé en un week-end, et ce n’est que de la bonne pratique à l’intérieur. C’est d’une lisibilité, franchement, c’était l’été, donc j’étais près de la piscine, les deux me tentaient autant. Honnêtement, rarement j’ai vu un règlement européen aussi lisible. Plongez-vous dedans. Et pas « non, non ce n’est pas la peine de le lire, c’est illisible ! » On ne citera personne, on ne fera du name and shame !
Benjamin : C’est mal parti !
Xavier : Non, parce qu’il y a des spécialistes RGPD qui disent aux entreprises : « Ne perdez pas de temps à essayer de le lire ! » Et après on se rend compte qu’eux-mêmes ne l’avaient pas lu.
Le RGPD a été créé pour que les GAFAM prennent encore plus de nos données personnelles ?
Qui pense que oui ? OK. Qui pense que non ? Ouais ! 80 %. Et qui pense que oh ! 10 %. On pensait que vous aviez lu du Laurent Alexandre, un truc comme ça. Mince !
Benjamin : On avait dit pas de name-shaming !
Xavier : C’est bien. Bref ! Vous avez bien compris qu’en fait le RGPD a été motivé, effectivement, sur la concentration en silos des données et il est vraiment passé comme une lettre à la poste, justement par les révélations Snowden, par le fait que les services de renseignement pompent d’autant plus facilement la donnée que tout est dans certains silos.
Le RGPD a été écrit par les GAFAM pour empêcher les entreprises européennes d’être compétitives.
Benjamin : Ça c’est quelque chose qu’on entend vraiment beaucoup.
Xavier : On l’entend. Ce qu’on vous écrit, en fait, ce sont souvent des trucs qu’en entend, et dans les médias, des fois dans les très gros médias !
Donc qui pense que oui, ça a été écrit par les GAFAMS ? Quand on connaît le budget que Google met pour aller voir les eurodéputés, je ne serais pas surpris. Non ? Ouais ! 80 %. Et ni ? 5 %. Au moins soyez honnêtes.
Benjamin : Là on vous a mis le titre complet du règlement. On parle beaucoup de RGPD ou GDPR, ce qu’il faut voir c’est qu’en fait ce règlement a deux objectifs, deux finalités principales. La première c’est la protection des données à caractère personnel des individus situés sur l’espace de l’Union européenne. Et la deuxième finalité c’est vraiment de favoriser la libre circulation de ces données dès lors que cette circulation est faite de manière encadrée, dès lors qu’elle est respectueuse de la vie privée des individus dont on traite les données ; c’est-à-dire dès lors qu’on les a informés que ces données sont traitées, il y a toute une batterie de principes, dès lors qu’ils savent où vont ces données, ce qu’on va faire avec, etc. Au sein de l’Union européenne cette libre circulation des données est acquise.
Par contre, plus largement à l’échelle mondiale, ce qu’il faut voir c’est qu’il y a diverses conditions, notamment le fait d’adhérer à des principes protecteurs, le fait d’avoir une loi nationale dans le pays où on envoie les données qui est protectrice également des données à caractère personnel. Il ne faut pas voir le règlement comme quelque chose qui va empêcher les entreprises d’être compétitives, qui va les empêcher de faire du business. Au contraire, on pense que ce processus d’amélioration continue de la protection de la vie privée c’est quelque chose qui pourrait être un avantage compétitif des entreprises européennes comme américaines, etc. Comme on va le voir dans quelques slides.
23’ 40
Xavier : Et comme on l’a dit ce sont des bonnes pratiques.
