Démystification du RGPD - Xavier Mouton-Dubosc et Benjamin Benifei
Titre : Démystification du règlement général sur la protection des données
Intervenants : Xavier Mouton-Dubosc alias dascritch - Benjamin Benifei
Lieu : Capitole du Libre - Toulouse
Date : novembre 2017
Durée : 45 min min
Licence de la transcription : Verbatim
Statut : Transcrit MO
Description
Un texte européen entrera en application en mai prochain pour protéger la vie privée des individus ainsi qu’encadrer la collecte et les transferts de leurs données personnelles. À l’inverse de dizaines de webinars paranos, cette présentation du règlement général sur la protection des données (RGPD) vise à rappeler les fondamentaux, les droits des uns ainsi que les obligations des autres. Si comme beaucoup d’experts RGPD, vous n’avez pas lu le RGPD, cette conférence est faite pour vous.
Transcription
Xavier : On est là pour démystifier le RGPD et vite parce que tout simplement, dans 188 jours il entre en action. C’est pour ça que je parlais tout à l’heure de la date de l’examen qui sera donc le 25 mai et on va tous y passer !
Bonjour, je suis dascritch, je suis développeur, je fais aussi une émission sur Radio FMR qui s’appelle CPU et, accessoirement, je fais des fois des trucs avec d’autres comparses qu’on appelle des CryptoParties.
Benjamin : Bonjour à tous. Merci d’être venus. Je m’appelle Benjamin Benifei, je suis consultant en protection des données et donc je faisais de la protection de la vie privée, avant que ça soit cool, avant qu’on parle du RGPD à tout bout de champ.
Xavier : Avant 78 !
Benjamin : Waouh ! Pas avant 78 !
Xavier : Comme on n’a pas le temps, on va faire un petit peu un résumé des épisodes précédents pour ceux qui n’étaient pas là bien évidemment. D’abord ficher les citoyens c’est quelque chose qui est relativement vieux. Je vous rappelle, par exemple, que l’état-civil est l’une des causes qui fait que Jésus s’est retrouvé dans une mangeoire puisque Joseph était appelé à faire son recensement en Galilée. Richelieu lui-même fichait ses opposants. À partir du XIXème eh bien on commence à faire des élections, des élections censitaires, donc il fallait justifier qu’on avait un certain revenu pour voter et les pauvres, de toutes façons, pas besoin. Et en 1914, comme on allait lancer une guerre, on a fait une grande réforme des finances de l’État et on a créé l’impôt sur la fortune ce qui voulait dire, bien évidemment, qu’il fallait que l’on sache, en fait, ce que gagne chacun.
En 1941 à l’époque l’Allemagne avait un petit peu écrasé la France, comment ça c’est le cas maintenant ! Non, pas du tout ! Ce n’est pas la même chose ! Donc l’exercice de l’armée a été suspendu. L’armée était déjà à l’époque ??? une conscription et on demande à un haut-fonctionnaire de préparer le retour de l’armée au cas où, on ne sait jamais ! Enfin ils font ça un petit peu dans leur coin sans prévenir le reste du gouvernement de Vichy. Cette personne s’appelle René Camille et va créer, en fait, un premier fichage de l’ensemble des citoyens français. Le but du jeu est de recenser tous les hommes valides qui seraient susceptibles de reconstituer une armée.
Et pour cela, il va créer, en fait, un numéro d’identifiant unique pour tous les Français qui va être constitué de l’année de naissance, le mois de naissance, le département, un numéro à trois chiffres qui représente la commune et trois chiffres qui est le placement, en fait, dans le registre des naissances. Ça vous rappelle peut-être quelque chose, le numéro Insee. Mais il manquait un premier chiffre et comme ils se sont dit bon, là ça va peut-être un peu se voir. Le gouvernement de Vichy leur a dit : « Ah mais c’est super, pourquoi il n’y a pas de place. — Ah mais c’est par foyer. — Non on veut vraiment par individu. » Donc ils ont rajouté un premier chiffre où on en a en 1 les hommes et en 2 les femmes. Maintenant vous savez que c’est non seulement sexiste, mais ça c’est aussi pour dire allez messieurs partez à la bataille.
Mais est-ce que vous savez qu’en fait ce premier chiffre avait d’autres numéros en usage. Ainsi en 3 et en 4, on y mettait les indigènes des colonies, en 5 et en 6 les juifs des colonies. Attention les juifs de France étaient dans la classification 1 et 2. En 5 et en 6 c’est pour une question purement juridique, c’est parce que les juifs des colonies comptaient moins que les Français et colons, mais comptaient plus que les indigènes de nos colonies ; c’est beau la vie ! Et 7 et 8 pour les étrangers.
Bref ! On va bien évidemment garder le numéro Insee par la suite qui nous sert encore actuellement, mais le ministère de l’Intérieur en 1972 va se dire mais c’est bien pratique quand même d’avoir toutes ces infos sur les Français ; on va peut-être, grâce à la puissance du plan informatique, on va accumuler plus d’informations sur les Français, par exemple on va prendre non seulement leur numéro de sécurité sociale, mais on va le croiser avec les fiches de police puisqu’on en a plein. On va y mettre aussi les impôts après tout pourquoi pas ! Puisque toutes les banques sont nationalisées, elles vont nous donner tous leurs fichiers qu’elles ont sur chacun des Français là-dessus et puis les assurances aussi derrière, et tout ça.
Bref ! Évidemment cela pose quand même un problème pour les développeurs qui sont derrière et qui doivent construire ce fichier fabuleusement nommé SAFARI [Système automatisé pour les fichiers administratifs et le répertoire des individus]. La chasse aux Français est ouverte ! Je vous rappelle qu’à l’époque, quand même, on faisait des ratonnades. C’est dire si c’était très mal choisi !
Bien évidemment ces développeurs ne sont pas exactement d’accord puisque l’information sur ce fichier SAFARI n’est absolument publique ; on se le fait, là aussi, dans notre petit coin tranquille de notre ministère. Donc des informaticiens vont écrire un courrier au journal Le Monde. Le Monde va publier en 1974 non seulement leur tribune, mais aussi une enquête sur ce fichier SAFARI et les implications que cela a derrière. Cela va faire un véritable tollé. Bref ! Cela va aller jusque devant le Parlement. Il va avoir un gros débat juridique là-dessus et on arrive à la loi dite informatique et libertés.
Benjamin : La loi informatique et libertés de 78. On vous a mis le tout premier article qui indique que l’informatique doit être au service du citoyen. C’était vraiment assez puissant de commencer une loi en 78 par ces termes. C’est quelque chose qui est toujours d’actualité aujourd’hui, puisque vous savez qu’il y a tout plein de réflexions sur la gouvernementalité algorithmique, le pouvoir des algos, donc cet article reste plus que jamais d’actualité.
Xavier : Mais voilà, cette loi, en fait, date de 1978, mais elle sera quand même révisée au fur et à mesure et puis étendue par le jeu des autres lois. Si vous vous intéressez un petit peu aux amendements et à comment se constitue une loi en France, vous saurez que ce ne sont que des commits sur GitHub, c’est à peu près la même chose d’ailleurs. On retrouve le Code civil sur GitHub, c’est bien qu’il y a une raison ! Et d’ailleurs, elle passera carrément au niveau européen, puisque ce sera plus ou moins réunifié, parce que les autres pays ne nous ont pas attendu. Peut-être que vous ne le savez pas, mais dans la Constitution du Portugal, il y a un article de la Constitution qui précise très clairement ce que l’État n’a pas le droit de récolter comme informations et de centraliser comme informations sur les citoyens et surtout en croisements de fichiers, ce qui était très précoce. Et c’est aussi le cas pour les autres pays, bien évidemment.
Corollaire, de cette loi, on crée une haute autorité qui s’appelle la CNIL, qui est la Commission informatique et libertés, qui a donc principalement pour mission d’abord de contrôler et de censurer les fichiers de l’État. Mais aussi de contrôler, c’est-à-dire que les entreprises doivent faire une déclaration auprès de la CNIL quand elles créent un fichier et, éventuellement, de vérifier l’usage qui est fait de ce fichier et de le censurer sous le prix d’une belle amende. Ça on le verra tout à l’heure. Et cela instaure un droit aux particuliers à la rectification des informations ; attention, des informations inexactes. Ce n’est pas l’occasion pour dire qu’on est haut-chevalier de je ne sais quoi ou titulaire de la rosace, de la légion quelconque.
Malheureusement cette loi, quand même, montre ses limites ainsi que sa directive européenne qui en découle, tout simplement parce que entre temps est arrivé Internet. On va faire des achats sur Internet et puis on va commencer à avoir une industrie qui va arriver qui va être l’industrie de la publicité. Donc on va commencer à récolter des informations, à faire du profilage sur les gens et, qui plus est, ce sont des entités qui ne sont pas soumises aux lois européennes puisque, bien souvent, elles sont placées en dehors de l’Europe, du moins pour les plus grands acteurs de ce côté-là.
En aussi en 2001, on a un triste évènement le 11 septembre – non il ne faut pas croire qu’on ne parle que de Toulouse –, mais qui va instaurer pas mal de lois qui attendaient sur une étagère un évènement triste, grave, mais oh ! ça tombe bien ! J’ai une loi antiterroriste et là-dessus on va retirer à la CNIL le droit de sévir et de censurer, en fait, les fichiers de l’État, à tel point qu’il y avait je crois à l’époque quelque chose comme 70 fichiers illégaux de police ; tout d’un coup ils sont devenus légaux puisque la CNIL n’avait plus le droit de rien dire dessus.
Parallèlement, en 2003, la Californie instaure en fait une nouvelle obligation. C’est une loi qui oblige les entreprises qui entreposent des données personnelles sur des individus de prévenir ces individus si ces données ont fuité à cause d’un piratage, d’une malveillance ou, tout simplement, d’un administrateur système qui aurait mieux fait, quand même, de faire son boulot. Cette loi va être transposée au fur et à mesure dans différents États des États-Unis ; même Barak Obama va faire un discours, d’ailleurs, si je me trompe, devant le Congrès. En 2015, ça va devenir, en fait, une loi fédérale.
Il faut savoir que cette loi va aussi inspirer le législateur européen. Il se trouve qu’en 2002 en Europe on avait une directive e-Privacy sur la gestion de la vie privée sur Internet et c’est la révision de 2009 de cette e-Privacy qui va justement apporter plus ou moins le concept d’obligation d’informer en cas de fuite d’une donnée personnelle. Mince !
Benjamin : C’est vrai, il y a peut-être un petit souci !
Xavier : Vous savez ce qu’elle a introduit aussi la directive de 2009 ? Elle introduit, bien évidemment, le grand bandeau que là on va vous mettre de suite : « En poursuivant l’écoute de cette conférence, vous acceptez nos CGV et l’utilisation de cookies pour vous proposer des contenus et services adaptés aux centres d’intérêt qui nous permettent l’utilisation de boutons de partage sociaux. Pour en savoir plus et gérer ces paramètres, demander Simon sur la mailing-liste orga@capitoledulibre. » C’est fait !
Benjamin : Parfait !
Xavier : 2012. On a un dépoussiérage qui est fait à l’initiative d’un groupe constitué aussi bien des écologistes allemands et d’une élue du Parti pirate auprès du Parlement européen pour revoir justement et unifier l’ensemble de ces directives, puisque les directives ne sont pas toutes uniformes, pas toutes transposées sur le domaine national.
Benjamin : Les lois des États membres de l’Union européenne sont plutôt disparates et donc on s’est dit, enfin le législateur européen s’est dit qu’il fallait peut-être harmoniser tout cela. C’est pour cela qu’on a commencé à parler, dès 2012, d’une nouvelle norme en matière de protection de la vie privée des citoyens européens et le règlement général est ce qui a abouti. Personnellement j’ai lu quatre ou cinq versions. Dascritch va vous dire pourquoi ça s’est précipité vers la fin, pourquoi tous les députés européens et les instances européennes se sont dépêchées.
Xavier : Je ne vais même pas vous le dire. Il y a un excellent documentaire qui est passé sur Arte, qui a suivi l’écriture de cette loi, où on voit les représentants des partis populaires, donc les partis de droite, le rapporteur qui est face à une immense pile de papiers et donc députés et partis de droite qui lui disent : « Écoutez, vous voyez tout ça, ça ce sont tous nos amendements. Vous les jetez là, parce qu’après ce que vient de nous dire Snowden avant-hier ! »
11’ 07
Donc cela va permettre, en fait, une mise à jour réelle de l’ensemble des pratiques sur la gestion de la vie privée
